Podatność w Traccar Server (producent: Tananaev Solutions) umożliwia atakującemu ominięcie mechanizmu uwierzytelnienia w panelu administratora z wykorzystaniem domyślnych danych dostępowych. Ze względu na ocenę CVSS 9.5 (CRITICAL) i brak wymaganej interakcji użytkownika, stanowi poważne zagrożenie dla wszystkich instalacji z niezmienionymi domyślnymi poświadczeniami.
▸ Pokaż oryginał (EN)
Use of Default Credentials vulnerability in Tananaev Solutions Traccar Server on Administrator Panel modules allows Authentication Abuse.This issue affects the privileged transactions implemented by the Traccar solution that should otherwise be protected by the authentication mechanism. These transactions could have an impact on any sensitive aspect of the platform, including Confidentiality, Integrity and Availability.
Aplikacja Traccar Server posiada domyślnie skonfigurowane dane logowania (CWE-1392), które nie są wymuszane do zmiany podczas wdrożenia. Atakujący może użyć tych znanych poświadczeń, aby uzyskać dostęp do uprzywilejowanych funkcji panelu administracyjnego, skutecznie omijając mechanizm uwierzytelnienia (CWE-287). Podatność dotyczy chronionych transakcji, które powinny być dostępne wyłącznie dla uwierzytelnionych i autoryzowanych administratorów.
Atakujący uzyskuje pełen dostęp do uprzywilejowanych funkcji platformy, co bezpośrednio narusza poufność, integralność i dostępność systemu. Możliwe jest przejęcie kontroli nad platformą, manipulacja danymi oraz zakłócenie jej działania.
Należy natychmiast zmienić domyślne dane logowania na silne, unikalne hasła dla wszystkich kont administracyjnych. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP oraz regularny przegląd kont użytkowników.
Traccar Server (Tananaev Solutions) — wersje wskazane w referencjach producenta; podatność dotyczy modułu panelu administracyjnego
Podatność zgłoszona i opublikowana przez ASRG (Automotive Security Research Group) – szczegółowe informacje dostępne pod adresem: https://asrg.io/security-advisories/cve-2024-7746/
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XTraccar
APPTraccar2.12 – 6.0
Powiązane podatności
Traccar: nieograniczony upload plików prowadzący do RCE
Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain an issue in which a...
Versions of the Traccar open-source GPS tracking system starting with 6.11.1 contain an issue in which authent...
Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain a Cross-Site WebSoc...
Traccar is an open source GPS tracking system. Prior to 5.11, Traccar is affected by an unrestricted file uplo...