CVE-2025-26349
CVE-2025-26349
Em resumo
Um recurso de upload de arquivos no Q-Free MaxTime permite que usuários autenticados façam upload de arquivos em locais não pretendidos usando truques de caminho (como sequências ../), podendo sobrescrever arquivos importantes do sistema.
Detalhe técnico
Vulnerabilidade CWE-23 Traversal de Caminho Relativo no mecanismo de upload de arquivos do Q-Free MaxTime ≤2.11.0 permite que atacantes autenticados manipulem caminhos de arquivo via requisições HTTP elaboradas, possibilitando sobrescrita arbitrária de arquivos. O ataque requer credenciais válidas mas contorna restrições de diretório.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A CWE-23 "Relative Path Traversal" in the file upload mechanism in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to overwrite arbitrary files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Q-Free · MaxTimeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →