CVE-2025-26347
CVE-2025-26347
Vexday Risk Score
28Bajo
Decisión SSVC (CISA)
Track
Sin señal de explotación → monitorear
CVSS 9.8EPSS 1.0%KEV nãoPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
12 feb 2025Publicada en NVD
Recomendación: Monitorear — sin señal de explotación por ahora.
En resumen
Q-Free MaxTime versión 2.11.0 y anteriores permiten que cualquier persona en internet cambie los permisos de usuarios sin iniciar sesión. Esto es crítico porque un atacante puede obtener acceso no autorizado o elevar sus privilegios.
Detalle técnico
Vulnerabilidad CWE-306 en maxprofile/menu/routes.lua permite solicitudes HTTP no autenticadas para modificar permisos de usuario. La función afectada carece de validación de autenticación, permitiendo que atacantes remotos escalen privilegios o alteren controles de acceso sin credenciales válidas.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-306 "Missing Authentication for Critical Function" in maxprofile/menu/routes.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to edit user permissions via crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Q-Free · MaxTime¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →