CVE-2025-26372

Nome do Software Vulnerável e Versões Afetadas: Versões do Q-Free MaxTime 2.11.0 e anteriores

Descrição: O problema está relacionado à ausência de autorização no arquivo maxprofile/user-groups/routes.lua, permitindo que um atacante autenticado com privilégios baixos remova usuários de grupos por meio de solicitações HTTP manipuladas, visando especificamente o endpoint maxprofile/user-groups/routes.lua. O username e outras variáveis relacionadas ao usuário estão potencialmente vulneráveis à manipulação.

Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, considere desabilitar o acesso ao endpoint maxprofile/user-groups/routes.lua até que um patch esteja disponível. Restrinja privilégios para usuários com privilégios baixos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.