文章总结： TraccarGPS跟踪系统曝出高危文件包含漏洞CVE-2025-61666，攻击者可利用该漏洞读取敏感文件或结合日志投毒实现RCE。官方已发布补丁，建议立即升级系统，禁用危险功能并限制权限，同时开启流量监控以检测攻击行为。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,漏洞POC,WEB安全,应用安全

【漏洞预警】Traccar GPS 跟踪建站系统 文件包含漏洞(CVE-2025-61666)

by 融云安全-sm

融云攻防实验室

2025年12月24日 16:03 江西

漏洞名称：

Traccar GPS 跟踪建站系统 文件包含漏洞

组件详情：

Traccar 是由美国 Traccar 公司开发的 GPS 跟踪建站系统，基于 Java 技术构建，核心提供 GPS 跟踪相关功能。该软件兼容性极强，支持超过 170 种 GPS 通信协议与 1500 余款不同型号的 GPS 跟踪设备，可与各类主流 SQL 数据库系统适配，同时配备了简洁易用的 REST API 接口。

影响范围：

• 所有默认部署或未修补的自建 Traccar 实例
• 其他基于 Traccar 二次开发的 GPS 跟踪系统

漏洞类型：

本地/远程文件包含（Local/Remote File Inclusion，LFI/RFI）

利用条件：

1、用户认证：无需用户认证或低权限认证（部分路径预认证可利用）

2、前置条件：默认配置下启用相关动态资源加载接口（如模板、语言文件或日志查看模块）

3、触发方式：远程（通过精心构造的HTTP GET请求包含任意本地文件或远程恶意文件）

综合评价：

<综合评定利用难度>：容易，无需授权即可通过单一精心构造的请求实现敏感文件读取（如配置文件、源码），结合日志投毒可升级为远程代码执行，已有公开PoC和批量扫描工具。

<综合评定威胁等级>：高危，可导致敏感信息泄露（数据库凭证、API密钥）、服务器配置暴露，进一步结合其他漏洞实现远程命令执行或系统完全失陷。

官方解决方案：

Traccar 项目已发布安全补丁，请立即升级到最新版本。建议同时禁用不必要的文件包含功能、限制web根目录权限、启用严格输入过滤、禁止远程文件包含、监控异常文件访问日志，并轮换数据库凭证与服务器密钥。

复现情况

融云攻防实验室已复现该漏洞，如下图：

渝融云解决方案-渝融云NTM全流量分析探针

已添加监测规则，可实时监控Traccar GPS 跟踪建站系统 文件包含漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：融云攻防实验室 by 融云安全-sm《【漏洞预警】Traccar GPS 跟踪建站系统 文件包含漏洞(CVE-2025-61666)》