CVE-2026-27693 CVSS 5.4 中危

CVE-2026-27693 Traccar XML注入漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-27693

漏洞类型

XML注入

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Traccar

漏洞概述

Traccar是一个开源GPS跟踪系统。在6.11.1至6.13.0之前的版本中，KML和GPX导出功能在将设备名称写入XML输出时缺乏适当的转义机制。低权限攻击者可以通过创建包含恶意XML载荷的设备名称来利用此漏洞。当其他用户导出并打开这些生成的文件时，文件结构可能被破坏，且位置数据可能被伪造。该问题已在版本6.13.0中修复。

技术细节

该漏洞源于Traccar在处理KML和GPX文件导出时，未对设备名称进行XML实体编码。攻击者拥有低权限账户（PR:L）时，可以创建一个设备，并将其名称字段构造为包含XML标签的字符串（例如：`</name><Placemark><name>Fake</name>...`）。当管理员或具有更高权限的用户使用系统导出功能生成轨迹文件时，系统会将未经过滤的设备名称直接拼接到XML结构中。由于这需要用户打开导出的文件（UI:R），属于存储型XML注入。攻击成功后，可导致导出的文件结构损坏，或在地图软件中渲染出伪造的地理位置信息，影响数据的完整性（I:L）。

攻击链分析

STEP 1

1. 注册/登录

攻击者使用低权限账户登录Traccar系统。

STEP 2

2. 创建恶意设备

攻击者添加一个新的GPS设备，并在设备名称字段中注入XML代码（如闭合标签并添加伪造的坐标点）。

STEP 3

3. 诱导导出

攻击者等待或诱导管理员或其他用户导出该设备的轨迹数据（KML或GPX格式）。

STEP 4

4. 文件解析

受害者使用地图软件（如Google Earth）打开导出的文件，软件解析被注入的XML，显示错误的地理位置或导致文件渲染异常。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept: XML Injection via Device Name
# 1. Attacker creates a device with a malicious name containing XML tags.
# 2. Payload example to spoof location in KML:
malicious_name = "RealDevice</name><Placemark><name>Spoofed Location</name><Point><coordinates>-122.0822035425683,37.42228990140251,0</coordinates></Point><Placemark><name>"

# 3. When an admin exports the map (KML/GPX), the output XML will be corrupted:
# <Document>
#   <name>RealDevice</name>
#   <Placemark>... (Injected content) ...
#   <name>RealDevice</name> <-- This might break the structure or render the fake point.
# </Document>

影响范围

Traccar 6.11.1

Traccar 6.12.x

防御指南

临时缓解措施

建议管理员限制普通用户创建设备的权限，或者在升级补丁前，严格审核设备名称，禁止包含特殊字符。用户在打开来自不确定来源的KML/GPX文件时应保持谨慎。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表