一、 漏洞 CVE-2025-61666 基础信息
漏洞信息
                                        # Traccar 本地文件包含漏洞(Windows)

## 概述

Traccar 是一个开源的 GPS 追踪系统。在其某些版本中存在**未认证的本地文件包含漏洞**,攻击者可利用该漏洞读取系统上的任意文件(包括配置文件和密码文件)。

## 影响版本

- **默认安装**:版本 6.1 至 6.8.1 存在漏洞,无需特殊配置即可被利用。
- **非默认安装**:版本 5.8 至 6.0 存在漏洞,但仅当配置中启用 `<entry key='web.override'>./override</entry>`。

## 漏洞细节

- 漏洞类型:**本地文件包含**(Local File Inclusion, LFI)。
- 攻击特点:无需认证即可发起攻击。
- 漏洞来源:
  - 在 5.8 - 6.0 版本中,仅在启用 `web.override` 配置项时暴露。
  - 在 6.1 - 6.8.1 版本中,`web.override` 默认启用,导致漏洞普遍可利用。
- 漏洞代码已在 **6.9.0 版本中移除**。

## 影响

- 攻击者可读取包括但不限于以下内容:
  - Traccar 配置文件
  - 系统上的任意文件
  - 存储敏感信息的文件(如密码)
- 可能导致**敏感数据泄露**和**系统进一步被攻击**。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Traccar Unauthenticated Local File Inclusion on Windows - Leakage of Traccar Config File
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Traccar is an open source GPS tracking system. Default installs of Traccar on Windows between versions 6.1- 6.8.1 and non default installs between versions 5.8 - 6.0 are vulnerable to unauthenticated local file inclusion attacks which can lead to leakage of passwords or any file on the file system including the Traccar configuration file. Versions 5.8 - 6.0 are only vulnerable if <entry key='web.override'>./override</entry> is set in the configuration file. Versions 6.1 - 6.8.1 are vulnerable by default as the web override is enabled by default. The vulnerable code is removed in version 6.9.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Traccar 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Traccar是美国Traccar公司的一个基于Java的可提供GPS跟踪功能的建站系统。该软件支持170多种GPS协议和1500多种型号的GPS跟踪设备。Traccar可以与任何主要的SQL数据库系统一起使用。它还提供了易于使用的REST API。 Traccar 6.1版本至6.8.1版本和5.8版本至6.0版本存在安全漏洞,该漏洞源于未经验证的文件包含,可能导致密码泄露或任意文件读取。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-61666 的公开POC
# POC 描述 源链接 神龙链接
1 Traccar 5.8-6.0 (non-default installs with web.override set) and 6.1-6.8.1 (default installs) contain a local file inclusion vulnerability caused by enabled web override configuration, letting unauthenticated attackers leak arbitrary files including passwords, exploit requires local access. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-61666.yaml POC详情
三、漏洞 CVE-2025-61666 的情报信息

  • 标题: Traccar Unauthenticated LFI v5.8-v6.8.1 -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Traccar Unauthenticated LFI v5.8-v6.8.1

  • 标题: Traccar Unauthenticated Local File Inclusion on Windows - Leakage of Traccar Config File · Advisory · traccar/traccar · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    Traccar Unauthenticated Local File Inclusion on Windows - Leakage of Traccar Config File · Advisory · traccar/traccar · GitHub

  • 标题: traccar/src/main/java/org/traccar/web/DefaultOverrideServlet.java at v6.8.1 · traccar/traccar · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    traccar/src/main/java/org/traccar/web/DefaultOverrideServlet.java at v6.8.1 · traccar/traccar · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-61666
四、漏洞 CVE-2025-61666 的评论

暂无评论

发表评论