PT-2025-7136 · Q Free · Q-Free Maxtime

Andrea Palanca

Publicado

2025-02-12

Atualizado

2025-10-24

CVE-2025-26347

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas: Versões 2.11.0 e anteriores do Q-Free MaxTime

Descrição: A ausência de autenticação para uma função crítica em maxprofile/menu/routes.lua permite que um atacante remoto não autenticado edite permissões de usuário por meio de requisições HTTP manipuladas.

Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão que inclua a autenticação necessária para funções críticas, a fim de prevenir acesso não autorizado. Como medida temporária de contorno, considere restringir o acesso ao módulo maxprofile/menu/routes.lua para minimizar o risco de exploração.

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306

Identificadores relacionados

CVE-2025-26347

Produtos afetados

Q-Free Maxtime

PT-2025-7136 · Q Free · Q-Free Maxtime

CVE-2025-26347

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7