Traccar本地文件包含漏洞(CVE-2025-61666)
免责声明
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。
对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。
一:漏洞描述
Traccar 是一个开源的GPS跟踪系统。在Windows系统上,默认安装的Traccar在6.1至6.8.1版本之间存在漏洞,而非默认安装的5.8至6.0版本也存在漏洞,这些漏洞可能导致未认证的本地文件包含攻击,从而泄露密码或文件系统中的任意文件(包括Traccar配置文件)。5.8至6.0版本仅在配置文件中设置./override时才会存在漏洞,而6.1至6.8.1版本由于默认启用web覆盖功能因此默认存在漏洞。该漏洞在6.9.0版本中已被移除。
二:资产测绘
app="Traccar"
三:漏洞复现
POC如下