## https://sploitus.com/exploit?id=2BB21CF4-4D6A-5B52-89B2-8B73C182FBC1
**🔍 Análisis del CVE-2025-68930: Vulnerabilidad de Secuestro de WebSockets en Traccar**
El **CVE-2025-68930** expone una **vulnerabilidad crítica de Cross-Site WebSocket Hijacking (CSWSH)** en **Traccar**, el sistema de rastreo GPS de código abierto. A continuación, los detalles clave:
---
🛡️ **Detalles de la Vulnerabilidad**
- **Endpoint afectado**: `/api/socket`.
- **Causa raíz**: **Falta de validación del encabezado `Origin`** durante el *handshake* de WebSocket.
- **Mecanismo de explotación**:
1. Un atacante engaña a un usuario autenticado para que visite un sitio malicioso.
2. El sitio malicioso establece una conexión WebSocket con el servidor Traccar **usando la sesión activa del usuario** (JSESSIONID).
3. El servidor **acepta la conexión** y transmite datos en tiempo real al atacante.
---
📊 **Impacto y Riesgos**
Esta vulnerabilidad permite **acceso no autorizado a datos sensibles**:
- **Rastreo en tiempo real**: Coordenadas exactas (latitud/longitud) de todos los activos.
- **Metadatos expuestos**: IDs de dispositivos, protocolos y niveles de batería.
- **Severidad**: **Alta** (7.1 según GitHub / 6.5 según NIST).
---
🛠️ **Versiones Afectadas y Soluciones**
- **Versiones vulnerables**: Todas hasta **6.11.1** (inclusive).
- **Mitigación inmediata**:
- Implementar **validación estricta del `Origin`** mediante una *allowlist* en la configuración del servidor **Jetty**.
- Monitorear el repositorio oficial de Traccar para aplicar el parche cuando esté disponible.
---
📌 **Recursos Adicionales**
- [GitHub Advisory (GHSA-69x6-wcx2-vghp)](https://github.com/traccar/traccar/security/advisories/GHSA-69x6-wcx2-vghp) (Exploit, Mitigación, Vendor Advisory).
- **CWE-1385**: *Missing Origin Validation in WebSockets*.
---
⚠️ **Recomendación**
Si eres administrador de un sistema Traccar, **actúa con urgencia** para aplicar las medidas de mitigación descritas. La exposición de datos en tiempo real puede tener consecuencias graves para la privacidad y seguridad de los usuarios.