CVE-2025-26346

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0

Descrição: O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando SQL, também conhecida como injeção de SQL. Isso ocorre no arquivo maxprofile/menu/model.lua, especificamente no endpoint editUserGroupMenu. Um atacante remoto autenticado pode explorar essa vulnerabilidade para executar comandos SQL arbitrários por meio de requisições HTTP elaboradas.

Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint editUserGroupMenu até que uma correção esteja disponível. Evite utilizar o arquivo vulnerável maxprofile/menu/model.lua, especificamente o endpoint editUserGroupMenu, até que o problema seja resolvido.