CVE-2025-26350
CVE-2025-26350
En resumen
Q-Free MaxTime permite que usuarios autenticados carguen archivos maliciosos sin restricciones adecuadas, lo que podría llevar a la ejecución de código o al compromiso del sistema. La aplicación no valida correctamente el tipo de archivo durante la carga de plantillas.
Detalle técnico
Vulnerabilidad CWE-434 de carga sin restricciones de archivo en Q-Free MaxTime ≤2.11.0 en la funcionalidad de carga de plantillas permite que atacantes autenticados eviten la validación de tipo de archivo mediante solicitudes HTTP manipuladas, permitiendo carga arbitraria de archivo y posible ejecución remota de código.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-434 "Unrestricted Upload of File with Dangerous Type" in the template file uploads in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to upload malicious files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →