CVE-2025-68930
Traccar Missing Origin Validation in WebSockets
En resumen
La conexión WebSocket de Traccar no verifica el origen de las solicitudes, permitiendo que atacantes secuestren la sesión de rastreo GPS en tiempo real de un usuario autenticado desde un sitio malicioso.
Detalle técnico
Vulnerabilidad de Cross-Site WebSocket Hijacking en el endpoint `/api/socket` causada por la falta de validación del header Origin durante el handshake WebSocket. Un atacante puede establecer una conexión WebSocket autenticada usando la cookie JSESSIONID de la víctima desde un origen diferente, eludiendo la Same Origin Policy y obteniendo acceso bidireccional a los datos y comandos de rastreo GPS.
Resumen generado y traducido por IA a partir de la descripción oficial.
Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain a Cross-Site WebSocket Hijacking (CSWSH) vulnerability in the `/api/socket` endpoint. The application fails to validate the `Origin` header during the WebSocket handshake. This allows a remote attacker to bypass the Same Origin Policy (SOP) and establish a full-duplex WebSocket connection using a legitimate user's credentials (JSESSIONID). As of time of publication, it is unclear whether a fix is available.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Productos afectados
traccar · traccar¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →