CVE-2025-26356
CVE-2025-26356
Em resumo
Uma falha no Q-Free MaxTime permite que usuários autenticados sobrescrevam arquivos importantes do servidor através de requisições especialmente construídas. A aplicação não valida corretamente os caminhos de arquivo, permitindo acesso a diretórios fora do alcance intendido.
Detalhe técnico
Vulnerabilidade de traversal de caminho (CWE-35) no endpoint setActive (maxtime/api/database/database.lua) que permite a atacantes autenticados contornar validações de caminho e sobrescrever arquivos sensíveis. O ataque requer credenciais válidas; o impacto inclui comprometimento de arquivos do sistema e integridade de configurações.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A CWE-35 "Path Traversal" in maxtime/api/database/database.lua (setActive endpoint) in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to overwrite sensitive files via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Q-Free · MaxTimeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →