CVE-2026-44314 in Traccarinfo

Zusammenfassung

von VulDB • 26.05.2026

Traccar ist ein Open-Source-GPS-Tracking-System. Vor Version 6.13.0 autorisiert DeviceResource.uploadImage das Zielgerät ausschließlich über Condition.Permission(User.class, getUserId(), Device.class) und streamt den hochgeladenen Body anschließend direkt in mediaManager.createFileStream(...). Im Gegensatz zum generischen Mutationspfad in BaseObjectResource.update und dem expliziten Geräte-Mutations-Handler updateAccumulators ruft dieser Pfad niemals permissionsService.checkEdit(getUserId(), Device.class, false, false) auf. Die übersprungene Schutzmaßnahme ist genau die Stelle, an der Traccar die ReadOnly- und deviceReadonly-Einschränkungen für Nicht-Admin-Benutzer durchsetzt. Ein nicht autorisierter Benutzer kann die gespeicherte Bilddatei eines Geräts im Server-Medienverzeichnis ersetzen. Dies ermöglicht die Änderung von gerätebezogenen Medien, die in der Benutzeroberfläche sichtbar sind, sowie nachgelagerter Workflows, die auf das persistierte Bild angewiesen sind, obwohl andere Geräte-Aktualisierungspfade dieselbe Identität korrekt ablehnen. Diese Schwachstelle wurde in Version 6.13.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

05.05.2026

Veröffentlichung

26.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365705

CPE

bereit

EPSS

0.00030

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44314
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44314
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44314/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!