Уязвимость прикладного программного интерфейса GPS-системы Traccar связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём создания или загрузки произвольных файлов
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к GPS-системе;
- отключение возможности самостоятельной регистрации для ограничения возможности эксплуатации уязвимости (по умолчанию функция включена).
Использование рекомендаций производителя:
https://github.com/traccar/traccar/blob/master/src/main/java/org/traccar/model/Device.java#L56
https://github.com/traccar/traccar/blob/v5.12/src/main/java/org/traccar/api/resource/DeviceResource.java#L191
https://github.com/traccar/traccar/commit/3fbdcd81566bc72e319ec05c77cf8a4120b87b8f
https://github.com/traccar/traccar/security/advisories/GHSA-3gxq-f2qj-c8v9
| Балл | 10 — критическая опасность |