PT-2025-7164 · Q Free · Q-Free Maxtime

Diego Giubertoni

Publicado

2025-02-12

Atualizado

2025-03-03

CVE-2025-26375

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas: Q-Free MaxTime versões 2.11.0 e anteriores

Descrição: Uma falha de autorização no arquivo maxprofile/users/routes.lua permite que um atacante autenticado, com baixos privilégios, crie usuários com privilégios arbitrários por meio de solicitações HTTP manipuladas.

Recomendações: Para as versões 2.11.0 e anteriores, como medida temporária, considere restringir o acesso ao arquivo maxprofile/users/routes.lua até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862

Identificadores relacionados

CVE-2025-26375

Produtos afetados

Q-Free Maxtime

PT-2025-7164 · Q Free · Q-Free Maxtime

CVE-2025-26375

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8