CVE-2025-26355
CVE-2025-26355
Em resumo
Um atacante autenticado pode deletar arquivos importantes em um servidor Q-Free MaxTime usando requisições especialmente preparadas que burlam restrições de diretório. Isso é perigoso porque pode causar perda de dados ou interrupção do sistema.
Detalhe técnico
Uma vulnerabilidade de path traversal (CWE-35) em maxtime/api/database/database.lua permite que atacantes remotos autenticados acessem e deletem arquivos fora do diretório previsto através de requisições HTTP manipuladas. A vulnerabilidade requer credenciais de autenticação válidas e afeta Q-Free MaxTime versão 2.11.0 e anteriores, com impacto potencial na disponibilidade do sistema e integridade dos dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A CWE-35 "Path Traversal" in maxtime/api/database/database.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to delete sensitive files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
Produtos afetados
Q-Free · MaxTimeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →