PT-2025-7156 · Q Free · Q-Free Maxtime

Diego Giubertoni

Publicado

2025-02-12

Atualizado

2025-03-03

CVE-2025-26367

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores

Descrição: Uma falha de autorização no arquivo maxprofile/user-groups/routes.lua permite que um invasor autenticado, com baixos privilégios, crie grupos de usuários arbitrários por meio de solicitações HTTP especialmente construídas.

Recomendações: Para as versões 2.11.0 e anteriores, como uma medida paliativa temporária, considere restringir o acesso ao arquivo maxprofile/user-groups/routes.lua até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862

Identificadores relacionados

CVE-2025-26367

Produtos afetados

Q-Free Maxtime

PT-2025-7156 · Q Free · Q-Free Maxtime

CVE-2025-26367

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7