据外网报道，开源Traccar GPS 系统披露有两个安全漏洞，未经身份验证的攻击者可能会利用这些漏洞在某些情况下实现远程代码执行。

Traccar是一个开源的GPS系统，是由来自不同的背景和专业领域的开发者共同完成，安东·坦纳耶夫和安德烈·库尼辛项目的重要开发者之一。Traccar GPS 跟踪系统其源代码和文档都是公开的，并遵循特定的开源许可协议。它主要由Java语言编写，具有良好的跨平台性，因此用户可以自由地使用、修改和分发其源代码，世界各国的公司或团队都可以基于Traccar的开源代码进行二次开发，以满足自己的特定需求。例如，广州安格国际货运代理有限公司就开发了一款名为“安格Traccar”的物流定位应用软件。

开源Traccar GPS 系统

Traccar提供了强大的定位追踪功能，能够实时定位追踪，满足出租车、货车、农用设备、车队、集装箱、船舶等多种行业以及个人的追踪定位需求。Traccar支持超过200多种GPS协议，能够与市面上绝大多数的GPS跟踪设备兼容。除了传统的GPS跟踪设备外，Traccar还支持超过2000多种型号的GPS跟踪设备，包括iOS和Android等手机设备。此外Traccar还支持卫星切换、地图切换、追踪运动轨迹、追踪行程、停留点等多种功能，满足用户的不同需求。

此次Traccar的两个安全漏洞是由美国一个网络安全解决方案提供商Horizon3.ai的首席架构师Naveen Sunkavally发现的。这两个漏洞分别为CVE-2024-24809和CVE-2024-31214，都是路径遍历漏洞。

CVE-2024-24809漏洞允许上传具有危险类型的文件。攻击者可以通过特定的攻击路径来上传恶意文件，从而对系统造成威胁。该漏洞的CVSS分数为8.5，表明其具有较高的严重程度。CVE-2024-31214漏洞存在于设备图片上传功能中，允许不受限制的文件上传，可能导致远程代码执行。攻击者可以利用这个漏洞上传恶意文件，并触发代码执行，从而完全控制受影响的系统。该漏洞的CVSS分数高达9.7，是极为严重的安全漏洞。

Horizon3.ai的首席架构师Naveen Sunkavally

Naveen Sunkavally在发现这些漏洞后，对其进行了详细的分析，并指出了漏洞的成因和可能的攻击方式。他提醒使用Traccar系统的用户注意这些漏洞，并建议采取相应的防护措施。针对这些漏洞，Horizon3.ai公司也提供了概念验证攻击示例，展示了攻击者如何利用这些漏洞来实施攻击。包括利用Content-Type头中的路径遍历漏洞上传crontab文件，以在攻击者主机上获取反向shell；在Windows系统上，通过在特定目录中放置快捷方式文件实现远程代码执行等。

目前Traccar的开发团队已经积极修复了这些问题，并发布了新版本，但依然引发了大众对开源资源安全性的激烈讨论，在项目引入开源资源时，必须重视安全审查，并对其依赖关系进行深入了解和评估。一个开源项目可能依赖于其他多个开源库或组件，这些依赖项也可能存在安全漏洞。因此，用户在对整个依赖链进行安全评估的同时，还需要定期关注所使用开源项目的安全公告和更新日志，以减少被攻击的风险，确保所有组件都是安全可靠的。

此次事件也引起了整个物联网安全领域的广泛关注，物联网设备在带来便利的同时也存在多重不容忽视的安全隐患。各企业和团队需要加强对物联网设备整体供应链的综合安全管理，以避免类似的安全事件再次发生。