CVE-2025-26348

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime anteriores à 2.11.0

Descrição: O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando SQL, também conhecida como Injeção de SQL. Isso ocorre no arquivo maxprofile/menu/model.lua, especificamente no endpoint editUserMenu. Um atacante remoto autenticado pode explorar essa falha para executar comandos SQL arbitrários por meio de solicitações HTTP manipuladas.

Recomendações: Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint editUserMenu em maxprofile/menu/model.lua para minimizar o risco de exploração.