CVEDB API

Vulnerabilities

Vulnerable Software

Vulnerability Details CVE-2026-23521

Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain an issue in which authenticated users who can create or edit devices can set a device `uniqueId` to an absolute path. When uploading a device image, Traccar uses that `uniqueId` to build the filesystem path without enforcing that the resolved path stays under the media root. This allows writing files outside the media directory. As of time of publication, it is unclear whether a fix is available.

Exploit prediction scoring system (EPSS) score

EPSS Score 0.0

EPSS Ranking 9.8%

CVSS Severity

CVSS v3 Score 6.5

References

https://github.com/traccar/traccar/security/advisories/GHSA-rc28-cvfc-chqr

Products affected by CVE-2026-23521

Traccar » Traccar » Version: 2.0

cpe:2.3:a:traccar:traccar:2.0
Traccar » Traccar » Version: 2.1

cpe:2.3:a:traccar:traccar:2.1
Traccar » Traccar » Version: 2.10

cpe:2.3:a:traccar:traccar:2.10
Traccar » Traccar » Version: 2.11

cpe:2.3:a:traccar:traccar:2.11
Traccar » Traccar » Version: 2.12

cpe:2.3:a:traccar:traccar:2.12
Traccar » Traccar » Version: 2.2

cpe:2.3:a:traccar:traccar:2.2
Traccar » Traccar » Version: 2.3

cpe:2.3:a:traccar:traccar:2.3
Traccar » Traccar » Version: 2.4

cpe:2.3:a:traccar:traccar:2.4
Traccar » Traccar » Version: 2.5

cpe:2.3:a:traccar:traccar:2.5
Traccar » Traccar » Version: 2.6

cpe:2.3:a:traccar:traccar:2.6
Traccar » Traccar » Version: 2.7

cpe:2.3:a:traccar:traccar:2.7
Traccar » Traccar » Version: 2.8

cpe:2.3:a:traccar:traccar:2.8
Traccar » Traccar » Version: 2.9

cpe:2.3:a:traccar:traccar:2.9
Traccar » Traccar » Version: 3.0

cpe:2.3:a:traccar:traccar:3.0
Traccar » Traccar » Version: 3.1

cpe:2.3:a:traccar:traccar:3.1
Traccar » Traccar » Version: 3.10

cpe:2.3:a:traccar:traccar:3.10
Traccar » Traccar » Version: 3.11

cpe:2.3:a:traccar:traccar:3.11
Traccar » Traccar » Version: 3.12

cpe:2.3:a:traccar:traccar:3.12
Traccar » Traccar » Version: 3.13

cpe:2.3:a:traccar:traccar:3.13
Traccar » Traccar » Version: 3.14

cpe:2.3:a:traccar:traccar:3.14
Traccar » Traccar » Version: 3.15

cpe:2.3:a:traccar:traccar:3.15
Traccar » Traccar » Version: 3.16

cpe:2.3:a:traccar:traccar:3.16
Traccar » Traccar » Version: 3.17

cpe:2.3:a:traccar:traccar:3.17
Traccar » Traccar » Version: 3.2

cpe:2.3:a:traccar:traccar:3.2
Traccar » Traccar » Version: 3.3

cpe:2.3:a:traccar:traccar:3.3
Traccar » Traccar » Version: 3.4

cpe:2.3:a:traccar:traccar:3.4
Traccar » Traccar » Version: 3.5

cpe:2.3:a:traccar:traccar:3.5
Traccar » Traccar » Version: 3.6

cpe:2.3:a:traccar:traccar:3.6
Traccar » Traccar » Version: 3.7

cpe:2.3:a:traccar:traccar:3.7
Traccar » Traccar » Version: 3.8

cpe:2.3:a:traccar:traccar:3.8
Traccar » Traccar » Version: 3.9

cpe:2.3:a:traccar:traccar:3.9
Traccar » Traccar » Version: 4.0

cpe:2.3:a:traccar:traccar:4.0
Traccar » Traccar » Version: 4.1

cpe:2.3:a:traccar:traccar:4.1
Traccar » Traccar » Version: 4.12

cpe:2.3:a:traccar:traccar:4.12
Traccar » Traccar » Version: 4.13

cpe:2.3:a:traccar:traccar:4.13
Traccar » Traccar » Version: 4.14

cpe:2.3:a:traccar:traccar:4.14
Traccar » Traccar » Version: 4.15

cpe:2.3:a:traccar:traccar:4.15
Traccar » Traccar » Version: 4.2

cpe:2.3:a:traccar:traccar:4.2
Traccar » Traccar » Version: 4.3

cpe:2.3:a:traccar:traccar:4.3
Traccar » Traccar » Version: 4.4

cpe:2.3:a:traccar:traccar:4.4
Traccar » Traccar » Version: 4.5

cpe:2.3:a:traccar:traccar:4.5
Traccar » Traccar » Version: 4.6

cpe:2.3:a:traccar:traccar:4.6
Traccar » Traccar » Version: 4.7

cpe:2.3:a:traccar:traccar:4.7
Traccar » Traccar » Version: 4.8

cpe:2.3:a:traccar:traccar:4.8
Traccar » Traccar » Version: 4.9

cpe:2.3:a:traccar:traccar:4.9
Traccar » Traccar » Version: 5.0

cpe:2.3:a:traccar:traccar:5.0
Traccar » Traccar » Version: 5.1

cpe:2.3:a:traccar:traccar:5.1
Traccar » Traccar » Version: 5.10

cpe:2.3:a:traccar:traccar:5.10
Traccar » Traccar » Version: 5.11

cpe:2.3:a:traccar:traccar:5.11
Traccar » Traccar » Version: 5.12

cpe:2.3:a:traccar:traccar:5.12
Traccar » Traccar » Version: 5.2

cpe:2.3:a:traccar:traccar:5.2
Traccar » Traccar » Version: 5.3

cpe:2.3:a:traccar:traccar:5.3
Traccar » Traccar » Version: 5.4

cpe:2.3:a:traccar:traccar:5.4
Traccar » Traccar » Version: 5.5

cpe:2.3:a:traccar:traccar:5.5
Traccar » Traccar » Version: 5.6

cpe:2.3:a:traccar:traccar:5.6
Traccar » Traccar » Version: 5.7

cpe:2.3:a:traccar:traccar:5.7
Traccar » Traccar » Version: 5.8

cpe:2.3:a:traccar:traccar:5.8
Traccar » Traccar » Version: 5.9

cpe:2.3:a:traccar:traccar:5.9
Traccar » Traccar » Version: 6.0

cpe:2.3:a:traccar:traccar:6.0
Traccar » Traccar » Version: 6.1

cpe:2.3:a:traccar:traccar:6.1
Traccar » Traccar » Version: 6.2

cpe:2.3:a:traccar:traccar:6.2
Traccar » Traccar » Version: 6.3

cpe:2.3:a:traccar:traccar:6.3
Traccar » Traccar » Version: 6.4

cpe:2.3:a:traccar:traccar:6.4

Vulnerabilities

Vulnerable Software

Vulnerability Details CVE-2026-23521

Products

Pricing

Contact Us