CVE-2025-26356
CVE-2025-26356
En resumen
Una falla en Q-Free MaxTime permite que usuarios autenticados sobrescriban archivos importantes del servidor mediante solicitudes especialmente elaboradas. La aplicación no valida correctamente las rutas de archivo, permitiendo acceso a directorios fuera del alcance previsto.
Detalle técnico
Vulnerabilidad de traversal de ruta (CWE-35) en el endpoint setActive (maxtime/api/database/database.lua) que permite a atacantes autenticados eludir validaciones de ruta y sobrescribir archivos sensibles. El ataque requiere credenciales válidas; el impacto incluye compromiso de archivos del sistema e integridad de configuraciones.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-35 "Path Traversal" in maxtime/api/database/database.lua (setActive endpoint) in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to overwrite sensitive files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →