CVE-2025-26340

CVSS 8.8 HIGHEPSS 1.1%CWE-321

En resumen

Q-Free MaxTime usa una clave criptográfica fija para firmar tokens de autenticación, permitiendo que atacantes creen tokens válidos y omitan el inicio de sesión sin necesidad de credenciales legítimas.

Detalle técnico

Vulnerabilidad CWE-321 en el mecanismo de firma JWT de Q-Free MaxTime ≤2.11.0 utiliza una clave criptográfica hardcoded. Un atacante remoto no autenticado puede falsificar tokens JWT válidos mediante solicitudes HTTP manipuladas, logrando bypass de autenticación sin credenciales previas.

Resumen generado y traducido por IA a partir de la descripción oficial.

A CWE-321 "Use of Hard-coded Cryptographic Key" in the JWT signing in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to bypass the authentication via crafted HTTP requests.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

Q-Free · MaxTime

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2025-26340