← voltar
CVE-2025-26340

CVE-2025-26340

CVSS 8.8 HIGHEPSS 1.1%CWE-321
Em resumo

O Q-Free MaxTime usa uma chave criptográfica fixa para assinar tokens de autenticação, permitindo que atacantes criem tokens válidos e contornem o login sem precisar de credenciais legítimas.

Detalhe técnico

Vulnerabilidade CWE-321 no mecanismo de assinatura JWT do Q-Free MaxTime ≤2.11.0 utiliza uma chave criptográfica hardcoded. Um atacante remoto não autenticado pode forjar tokens JWT válidos através de requisições HTTP malformadas, alcançando bypass de autenticação sem credenciais prévias.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A CWE-321 "Use of Hard-coded Cryptographic Key" in the JWT signing in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to bypass the authentication via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Q-Free · MaxTime

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2025-26340