CVE-2025-26355
CVE-2025-26355
En resumen
Un atacante autenticado puede eliminar archivos importantes en un servidor Q-Free MaxTime usando solicitudes especialmente elaboradas que evaden restricciones de directorio. Esto es peligroso porque puede provocar pérdida de datos o interrupción del sistema.
Detalle técnico
Una vulnerabilidad de path traversal (CWE-35) en maxtime/api/database/database.lua permite que atacantes remotos autenticados accedan y eliminen archivos fuera del directorio previsto mediante solicitudes HTTP manipuladas. La vulnerabilidad requiere credenciales de autenticación válidas y afecta Q-Free MaxTime versión 2.11.0 y anteriores, con impacto potencial en la disponibilidad del sistema e integridad de los datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-35 "Path Traversal" in maxtime/api/database/database.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to delete sensitive files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →