CVE-2025-26354

CVSS 7.2 HIGHEPSS 0.8%CWE-35

Em resumo

Um usuário autenticado pode contornar restrições de acesso a arquivos no Q-Free MaxTime e sobrescrever arquivos importantes usando requisições especialmente construídas. Isso permite que invasores com acesso de login danifiquem ou manipulem arquivos do sistema.

Detalhe técnico

Vulnerabilidade de travessia de diretório (path traversal) no endpoint de cópia do arquivo maxtime/api/database/database.lua permite que invasores autenticados escapem das restrições de diretório e sobrescrevam arquivos arbitrários. A vulnerabilidade requer credenciais de autenticação válidas e permite manipulação do sistema de arquivos através de requisições HTTP construídas, impactando confidencialidade e integridade de recursos protegidos.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A CWE-35 "Path Traversal" in maxtime/api/database/database.lua (copy endpoint) in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to overwrite sensitive files via crafted HTTP requests.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

Q-Free · MaxTime

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2025-26354