Q-Free

Name of the Vulnerable Software and Affected Versions: Q-Free MaxTime versions 2.11.0 and earlier Description: The issue is related to a missing authentication for a critical function in the maxprofile/accounts/routes.lua file. This allows an unauthenticated remote attacker to reset user PINs via crafted HTTP requests. Recommendations: For Q-Free MaxTime versions 2.11.0 and earlier, update to a version later than 2.11.0 to resolve the issue. As a temporary workaround, consider restricting access to the maxprofile/accounts/routes.lua file to prevent unauthorized PIN resets.

**Nome do Software Vulnerável e Versões Afetadas** Q-Free MaxTime versão 2.11.0 e anteriores **Descrição** Uma vulnerabilidade CWE-346 "Erro de Validação de Origem" na configuração CORS permite que um atacante remoto não autenticado comprometa a confidencialidade, integridade ou disponibilidade do dispositivo por meio de URLs ou solicitações HTTP especialmente construídas. **Recomendações** Para o Q-Free MaxTime versão 2.11.0 e anteriores, atualize para uma versão posterior à 2.11.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à configuração CORS para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Q-Free MaxTime inferiores ou iguais a 2.11.0 **Descrição** Uma "Discrepância de Resposta Observável" na página de login permite que um atacante remoto não autenticado enumere nomes de usuário válidos por meio de solicitações HTTP manipuladas. Este problema está relacionado à funcionalidade de login, na qual diferenças na resposta podem revelar se um nome de usuário é válido ou não. **Recomendações** Para versões do Q-Free MaxTime inferiores ou iguais a 2.11.0, atualize para uma versão superior a 2.11.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à página de login para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões 2.11.0 e anteriores do Q-Free MaxTime Descrição: O problema está relacionado à validação inadequada de entrada, permitindo que um atacante remoto autenticado modifique a configuração do sistema por meio de requisições HTTP manipuladas. Isso pode ser realizado através do envio de requisições manipuladas ao sistema. Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão superior à 2.11.0 para resolver o problema. Como medida temporária de contorno, considere restringir o acesso ao módulo ldbMT.so para minimizar o risco de exploração. Evite o envio de requisições HTTP manipuladas ao sistema afetado até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores Descrição: A falha está relacionada à ausência de autenticação para uma função crítica, permitindo que um atacante remoto não autenticado redefina senhas de usuários arbitrários por meio de solicitações HTTP manipuladas. Isso se deve a um problema no arquivo maxprofile/accounts/routes.lua. Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão posterior à 2.11.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo maxprofile/accounts/routes.lua até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores Descrição: O problema está relacionado à ausência de autenticação para uma função crítica no arquivo maxprofile/accounts/routes.lua. Isso permite que um atacante remoto não autenticado crie usuários arbitrários, incluindo administradores, por meio de requisições HTTP manipuladas. Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão posterior à 2.11.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo maxprofile/accounts/routes.lua para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: Q-Free MaxTime versions less than or equal to 2.11.0 Description: A weak authentication issue in the PIN authentication mechanism allows an unauthenticated remote attacker to brute-force user PINs via multiple crafted HTTP requests. This issue affects Q-Free MaxTime, enabling attackers to potentially gain unauthorized access. Recommendations: For Q-Free MaxTime versions less than or equal to 2.11.0, update to a version greater than 2.11.0 to resolve the issue. As a temporary workaround, consider restricting access to the PIN authentication mechanism to minimize the risk of exploitation.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0 Descrição: Um problema de falta de autenticação em uma função crítica em maxtime/handleRoute.lua permite que um atacante remoto não autenticado afete a confidencialidade, integridade ou disponibilidade do dispositivo por meio de requisições HTTP manipuladas. Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso à função `handleRoute.lua` até que um patch esteja disponível. Evite utilizar a função vulnerável para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime inferiores ou iguais a 2.11.0 Descrição: O problema está relacionado ao uso de uma chave criptográfica fixa no código no processo de assinatura JWT. Isso permite que um atacante remoto não autenticado contorne a autenticação enviando requisições HTTP forjadas. Recomendações: Para versões do Q-Free MaxTime inferiores ou iguais a 2.11.0, atualize para uma versão superior a 2.11.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao processo de assinatura JWT até que uma correção esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0 Descrição: O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando SQL, também conhecida como injeção de SQL. Isso ocorre no arquivo maxprofile/menu/model.lua, especificamente no endpoint editUserGroupMenu. Um atacante remoto autenticado pode explorar essa vulnerabilidade para executar comandos SQL arbitrários por meio de requisições HTTP elaboradas. Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint editUserGroupMenu até que uma correção esteja disponível. Evite utilizar o arquivo vulnerável maxprofile/menu/model.lua, especificamente o endpoint editUserGroupMenu, até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Versões 2.11.0 e anteriores do Q-Free MaxTime Descrição: A ausência de autenticação para uma função crítica em maxprofile/menu/routes.lua permite que um atacante remoto não autenticado edite permissões de usuário por meio de requisições HTTP manipuladas. Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão que inclua a autenticação necessária para funções críticas, a fim de prevenir acesso não autorizado. Como medida temporária de contorno, considere restringir o acesso ao módulo maxprofile/menu/routes.lua para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0 Descrição: O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando SQL, também conhecida como Injeção de SQL. Isso ocorre no arquivo maxprofile/menu/model.lua, especificamente no endpoint editUserMenu. Um atacante remoto autenticado pode explorar essa falha para executar comandos SQL arbitrários por meio de solicitações HTTP manipuladas. Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint editUserMenu em maxprofile/menu/model.lua para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime inferiores ou iguais a 2.11.0 Descrição: Uma vulnerabilidade de Traversão de Caminho Relativo no mecanismo de upload de arquivos permite que um atacante remoto autenticado sobrescreva arquivos arbitrários por meio de solicitações HTTP especialmente construídas. Este problema afeta o Q-Free MaxTime, permitindo que atacantes manipulem o sistema ao enviar solicitações especificamente elaboradas. Recomendações: Para as versões do Q-Free MaxTime inferiores ou iguais a 2.11.0, considere restringir o acesso ao mecanismo de upload de arquivos até que uma correção esteja disponível. Como solução alternativa temporária, limite a capacidade de upload de arquivos apenas aos usuários estritamente necessários para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime menores ou iguais a 2.11.0 Descrição: A vulnerabilidade permite que um atacante remoto autenticado faça upload de arquivos maliciosos por meio de solicitações HTTP manipuladas, devido ao upload irrestrito de arquivos com tipos perigosos nos uploads de arquivos de modelo. Recomendações: Para versões do Q-Free MaxTime menores ou iguais a 2.11.0, atualize para uma versão superior a 2.11.0 para corrigir a falha. Como solução alternativa temporária, considere restringir o acesso aos uploads de arquivos de modelo para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0 Descrição: Uma vulnerabilidade de Path Traversal no mecanismo de download de modelos permite que um atacante remoto autenticado leia arquivos sensíveis por meio de solicitações HTTP manipuladas. Este problema permite ao atacante acessar arquivos confidenciais por meio de solicitações HTTP manipuladas. Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária (workaround), considere restringir o acesso ao mecanismo de download de modelos para minimizar o risco de exploração. Evite utilizar o recurso vulnerável de download de modelos até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0 Descrição: Uma vulnerabilidade de Path Traversal no mecanismo de exclusão de templates permite que um atacante remoto autenticado exclua arquivos sensíveis por meio de solicitações HTTP manipuladas. Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso ao mecanismo de exclusão de templates para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0 Descrição: Uma vulnerabilidade de Path Traversal em maxtime/api/sql/sql.lua permite que um atacante remoto autenticado leia arquivos sensíveis por meio de solicitações HTTP especialmente elaboradas. Recomendações: Para versões anteriores à 2.11.0, atualize para uma versão superior à 2.11.0 para resolver o problema. Como medida temporária, considere restringir o acesso ao módulo maxtime/api/sql/sql.lua para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: Q-Free MaxTime versions 2.11.0 and earlier Description: The issue is related to missing authentication for a critical function, allowing an unauthenticated remote attacker to enable passwordless guest mode via crafted HTTP requests. This is due to a missing authentication check in the maxprofile/guest-mode/routes.lua file. Recommendations: For Q-Free MaxTime versions 2.11.0 and earlier, update to a version later than 2.11.0 to resolve the issue. As a temporary workaround, consider restricting access to the maxprofile/guest-mode/routes.lua file to prevent exploitation.

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores Descrição: O problema está relacionado à ausência de autenticação para uma função crítica no arquivo maxprofile/menu/routes.lua. Isso permite que um atacante remoto não autenticado edite permissões de grupo de usuários por meio de requisições HTTP manipuladas. Recomendações: Para as versões 2.11.0 e anteriores, atualize para uma versão superior à 2.11.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo maxprofile/menu/routes.lua para impedir edições não autorizadas nas permissões de grupo de usuários.

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores Descrição: A falha está relacionada à falta de autenticação para uma função crítica no arquivo maxprofile/persistance/routes.lua. Isso permite que um atacante remoto não autenticado exclua dashboards por meio de requisições HTTP manipuladas. Recomendações: Para as versões 2.11.0 e anteriores, atualize para uma versão superior à 2.11.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo maxprofile/persistance/routes.lua para prevenir a exclusão não autorizada de dashboards.