CVE-2025-26374

Nome do Software Vulnerável e Versões Afetadas: Versões 2.11.0 e anteriores do Q-Free MaxTime

Descrição: Uma falha de autorização no arquivo maxprofile/users/routes.lua, especificamente no "endpoint de usuários", permite que um atacante autenticado com baixos privilégios enumere usuários ao enviar requisições HTTP manipuladas para o endpoint /users. A variável username pode ser explorada para obter acesso não autorizado a informações de usuários.

Recomendações: Para as versões 2.11.0 e anteriores do Q-Free MaxTime, considere desabilitar o endpoint users até que um patch esteja disponível para prevenir a enumeração de usuários. Restrinja o acesso ao arquivo maxprofile/users/routes.lua para minimizar o risco de exploração. Evite usar a variável username no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.