CVE-2025-26341
CVE-2025-26341
En resumen
Un atacante puede restablecer la contraseña de cualquier usuario sin iniciar sesión en el software Q-Free MaxTime. Esto permite tomar control de cuentas y robar información sensible.
Detalle técnico
Vulnerabilidad CWE-306 de autenticación faltante en maxprofile/accounts/routes.lua permite que atacantes remotos no autenticados restablezcan contraseñas de usuarios arbitrarios mediante solicitudes HTTP manipuladas. La función crítica carece de controles de acceso apropiados, posibilitando el compromiso de cuentas sin credenciales válidas.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-306 "Missing Authentication for Critical Function" in maxprofile/accounts/routes.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to reset arbitrary user passwords via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →