关键漏洞信息 概述 漏洞类型: CWE-1385 (WebSocket中的 Origin 验证缺失) 漏洞严重性: 高 影响范围 受影响的版本: 6.11.1 已修复版本: 无 漏洞详情 漏洞端点: 根本原因: Jetty 服务器配置或 WebSocket 处理程序没有检查 Origin 头是否匹配主机域。允许任意 Origin(如 或 )。 影响 实时跟踪: 攻击者可通过实时 WebSocket 流获取所有追踪资产的确切地理位置。 设备指纹: 泄露敏感设备元数据,包括 deviceId、协议(例如 osmand)和 batteryLevel。 漏洞利用范围: 任何被诱骗访问恶意网站且已登录 Traccar 的用户,其-tracking 数据将被即时暴露,从而绕过应用的访问控制机制。 应对措施 检查 Origin 头: 服务器应检查 HTTP 升级请求的 Origin 头。 白名单方法: 比较 Origin 值与受信域的严格白名单(如服务器自身的域和配置的协议)。 拒绝不可信数据: 如果 Origin 与白名单不匹配(或者根据安全策略是 null 或空),服务器必须立即拒绝连接(例如返回 HTTP 403)而不是升级到 WebSocket。 Python 漏洞利用脚本 通过带有恶意 Origin 头的握手请求模拟漏洞场景。 总结 此漏洞允许未授权的攻击者通过受害者被劫持的会话执行跨站 WebSocket 劫持(CSWSH)攻击,导致实时地理定位数据泄露以及设备数据的暴露。解决问题的关键在于严格实施 Origin 验证策略。