| Title | Traccar LtdのTraccarにおける不正な認証に関する脆弱性 |
|---|---|
| Summary | TraccarはオープンソースのGPS追跡システムです。バージョン6.13.0以前では、DeviceResource.uploadImageはCondition.Permission(User.class, getUserId(), Device.class)を通じてターゲットデバイスの認可を行った後、ただちにアップロードされたコンテンツをmediaManager.createFileStream(...)にストリームとして渡します。BaseObjectResource.updateの一般的なミューテーションパスや明示的なデバイスミューテーションハンドラーupdateAccumulatorsとは異なり、このルートはpermissionsService.checkEdit(getUserId(), Device.class, false, false)を一切呼び出しません。この無視されたガードは、Traccarが非管理者ユーザーに対してreadonlyおよびdeviceReadonly制限を適用する正にその場所です。不正なユーザーはサーバーのメディアディレクトリに保存されているデバイスの画像ファイルを置き換えることが可能です。これにより、UIに表示されるデバイスのメディアや永続化された画像に依存する下流のワークフローが、他のデバイス更新パスが同じ識別情報を適切に拒否しているにもかかわらず変更されてしまいます。この脆弱性はバージョン6.13.0で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 26, 2026, midnight |
| Registration Date | May 29, 2026, 11:17 a.m. |
| Last Update | May 29, 2026, 11:17 a.m. |
| CVSS3.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Traccar Ltd |
| Traccar 6.13.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月29日] 掲載 |
May 29, 2026, 11:17 a.m. |
| Summary | Traccar is an open source GPS tracking system. Prior to 6.13.0, DeviceResource.uploadImage authorizes the target device only through Condition.Permission(User.class, getUserId(), Device.class) and then immediately streams the uploaded body into mediaManager.createFileStream(...). Unlike the generic mutation path in BaseObjectResource.update and the explicit device mutation handler updateAccumulators, this route never invokes permissionsService.checkEdit(getUserId(), Device.class, false, false). The skipped guard is exactly where Traccar enforces readonly and deviceReadonly restrictions for non-admin users. An unauthorized user can replace a device’s stored image file under the server media directory. This allows modification of UI-visible device media and any downstream workflows that rely on the persisted image, despite other device update paths correctly rejecting the same identity. This vulnerability is fixed in 6.13.0. |
|---|---|
| Publication Date | May 27, 2026, 2:16 a.m. |
| Registration Date | May 27, 2026, 4:08 a.m. |
| Last Update | May 27, 2026, 11:02 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:traccar:traccar:*:*:*:*:*:*:*:* | 6.13.0 | ||||