PT-2025-7130 · Q Free · Q-Free Maxtime

Andrea Palanca

Publicado

2025-02-12

Atualizado

2025-10-24

CVE-2025-26341

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores

Descrição: A falha está relacionada à ausência de autenticação para uma função crítica, permitindo que um atacante remoto não autenticado redefina senhas de usuários arbitrários por meio de solicitações HTTP manipuladas. Isso se deve a um problema no arquivo maxprofile/accounts/routes.lua.

Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão posterior à 2.11.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo maxprofile/accounts/routes.lua até que um patch esteja disponível.

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306

Identificadores relacionados

CVE-2025-26341

Produtos afetados

Q-Free Maxtime

PT-2025-7130 · Q Free · Q-Free Maxtime

CVE-2025-26341

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5