← volver
CVE-2025-26342

CVE-2025-26342

CVSS 9.8 CRITICALEPSS 1.0%CWE-306
En resumen

Un fallo crítico en Q-Free MaxTime permite que cualquier persona en internet cree nuevas cuentas de usuario, incluyendo cuentas de administrador, sin necesidad de iniciar sesión. Esto permite que atacantes tomen control total del sistema.

Detalle técnico

Vulnerabilidad CWE-306 en maxprofile/accounts/routes.lua permite que solicitudes HTTP no autenticadas ejecuten funciones de creación de usuarios, habilitando aprovisionamiento arbitrario de cuentas con privilegios administrativos. Afecta Q-Free MaxTime ≤2.11.0; la explotación requiere acceso de red al endpoint vulnerable sin barreras de autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-306 "Missing Authentication for Critical Function" in maxprofile/accounts/routes.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to create arbitrary users, including administrators, via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Q-Free · MaxTime

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2025-26342