CVE-2025-26339
CVE-2025-26339
Em resumo
Q-Free MaxTime versão 2.11.0 e anteriores permitem que qualquer pessoa na internet execute operações críticas no sistema sem fazer login, podendo roubar dados, alterar configurações ou derrubar o serviço.
Detalhe técnico
Ausência de autenticação em maxtime/handleRoute.lua permite que requisições HTTP não autenticadas acessem funções críticas em Q-Free MaxTime ≤2.11.0, permitindo que atacantes comprometam confidencialidade, integridade e disponibilidade através de payloads elaborados sem credenciais válidas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A CWE-306 "Missing Authentication for Critical Function" in maxtime/handleRoute.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to affect the device confidentiality, integrity, or availability in multiple unspecified ways via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Q-Free · MaxTimeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →