PT-2025-7153 · Q Free · Q-Free Maxtime

Diego Giubertoni

Publicado

2025-02-12

Atualizado

2025-10-28

CVE-2025-26364

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores

Descrição: Uma falha de ausência de autenticação para uma função crítica em maxprofile/setup/routes.lua permite que um atacante remoto não autenticado desabilite um servidor de perfil de autenticação por meio de solicitações HTTP especialmente criadas.

Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, atualize para uma versão que inclua a autenticação necessária para funções críticas a fim de prevenir a exploração. Como solução alternativa temporária, considere restringir o acesso ao módulo maxprofile/setup/routes.lua para minimizar o risco de exploração.

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306

Identificadores relacionados

CVE-2025-26364

Produtos afetados

Q-Free Maxtime

PT-2025-7153 · Q Free · Q-Free Maxtime

CVE-2025-26364

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7