CVE-2025-26342
CVE-2025-26342
Em resumo
Uma falha crítica no Q-Free MaxTime permite que qualquer pessoa na internet crie novas contas de usuário, incluindo contas de administrador, sem precisar fazer login. Isso permite que invasores assumam controle total do sistema.
Detalhe técnico
Vulnerabilidade CWE-306 em maxprofile/accounts/routes.lua permite que requisições HTTP não autenticadas executem funções de criação de usuários, possibilitando provisionamento arbitrário de contas com privilégios administrativos. Afeta Q-Free MaxTime ≤2.11.0; exploração requer acesso de rede ao endpoint vulnerável sem barreiras de autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A CWE-306 "Missing Authentication for Critical Function" in maxprofile/accounts/routes.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to create arbitrary users, including administrators, via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Q-Free · MaxTimeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →