CVE-2025-26339
CVE-2025-26339
En resumen
Q-Free MaxTime versiones 2.11.0 y anteriores permiten que cualquier persona en internet realice operaciones críticas en el sistema sin iniciar sesión, pudiendo robar datos, cambiar configuraciones o derribar el servicio.
Detalle técnico
La falta de autenticación en maxtime/handleRoute.lua permite que solicitudes HTTP no autenticadas accedan a funciones críticas en Q-Free MaxTime ≤2.11.0, permitiendo que atacantes comprometan confidencialidad, integridad y disponibilidad mediante payloads elaborados sin credenciales válidas.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-306 "Missing Authentication for Critical Function" in maxtime/handleRoute.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to affect the device confidentiality, integrity, or availability in multiple unspecified ways via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →