CRITICAL🇬🇧 English

CVE-2024-7746

Traccar Server – pominięcie uwierzytelnienia przez domyślne dane logowania

CVSS 9.5v4.0pub. 2024-08-13upd. 2024-08-22

Podatność w Traccar Server (producent: Tananaev Solutions) umożliwia atakującemu ominięcie mechanizmu uwierzytelnienia w panelu administratora z wykorzystaniem domyślnych danych dostępowych. Ze względu na ocenę CVSS 9.5 (CRITICAL) i brak wymaganej interakcji użytkownika, stanowi poważne zagrożenie dla wszystkich instalacji z niezmienionymi domyślnymi poświadczeniami.

Pokaż oryginał (EN)

Use of Default Credentials vulnerability in Tananaev Solutions Traccar Server on Administrator Panel modules allows Authentication Abuse.This issue affects the privileged transactions implemented by the Traccar solution that should otherwise be protected by the authentication mechanism.  These transactions could have an impact on any sensitive aspect of the platform, including Confidentiality, Integrity and Availability.

🤖 Analiza AI
Jak działa

Aplikacja Traccar Server posiada domyślnie skonfigurowane dane logowania (CWE-1392), które nie są wymuszane do zmiany podczas wdrożenia. Atakujący może użyć tych znanych poświadczeń, aby uzyskać dostęp do uprzywilejowanych funkcji panelu administracyjnego, skutecznie omijając mechanizm uwierzytelnienia (CWE-287). Podatność dotyczy chronionych transakcji, które powinny być dostępne wyłącznie dla uwierzytelnionych i autoryzowanych administratorów.

Skutki

Atakujący uzyskuje pełen dostęp do uprzywilejowanych funkcji platformy, co bezpośrednio narusza poufność, integralność i dostępność systemu. Możliwe jest przejęcie kontroli nad platformą, manipulacja danymi oraz zakłócenie jej działania.

Mitygacja

Należy natychmiast zmienić domyślne dane logowania na silne, unikalne hasła dla wszystkich kont administracyjnych. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP oraz regularny przegląd kont użytkowników.

Kogo dotyczy

Traccar Server (Tananaev Solutions) — wersje wskazane w referencjach producenta; podatność dotyczy modułu panelu administracyjnego

Uwagi

Podatność zgłoszona i opublikowana przez ASRG (Automotive Security Research Group) – szczegółowe informacje dostępne pod adresem: https://asrg.io/security-advisories/cve-2024-7746/

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Traccar

    APP
    Traccar
    2.12 – 6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-31214CRITICAL9.6PL ✓ten sam produkt

Traccar: nieograniczony upload plików prowadzący do RCE

CVE-2026-25649HIGH7.3ten sam produkt

Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain an issue in which a...

CVE-2026-25648HIGH8.7ten sam produkt

Versions of the Traccar open-source GPS tracking system starting with 6.11.1 contain an issue in which authent...

CVE-2025-68930HIGH7.1ten sam produkt

Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain a Cross-Site WebSoc...

CVE-2023-50729HIGH8.4ten sam produkt

Traccar is an open source GPS tracking system. Prior to 5.11, Traccar is affected by an unrestricted file uplo...

CVE-2024-7746 — Traccar Server – pominięcie uwierzytelnienia przez domyślne dane logowania — CRITICAL 9.5 | CVEbaza.pl