漏洞描述 Traggo 时间追踪服务器的 GraphQL 接口存在默认凭据漏洞。系统在初始安装后使用硬编码的默认管理员账户(用户名:admin,密码:admin),且未强制要求用户首次登录时修改密码。攻击者可通过向 /graphql 端点发送 Login 变更请求,使用默认凭据获取管理员权限的身份验证令牌,从而完全控制 Traggo 服务器实例。