CVE-2025-26349
CVE-2025-26349
En resumen
Una función de carga de archivos en Q-Free MaxTime permite que usuarios autenticados carguen archivos en ubicaciones no previstas usando trucos de ruta (como secuencias ../), pudiendo sobrescribir archivos importantes del sistema.
Detalle técnico
Vulnerabilidad CWE-23 de Traversal de Ruta Relativa en el mecanismo de carga de archivos de Q-Free MaxTime ≤2.11.0 permite que atacantes autenticados manipulen rutas de archivo mediante solicitudes HTTP elaboradas, posibilitando la sobrescritura arbitraria de archivos. El ataque requiere credenciales válidas pero elude restricciones de directorio.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-23 "Relative Path Traversal" in the file upload mechanism in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to overwrite arbitrary files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →