CVE-2025-26354

CVSS 7.2 HIGHEPSS 0.8%CWE-35

En resumen

Un usuario autenticado puede eludir restricciones de acceso a archivos en Q-Free MaxTime y sobrescribir archivos importantes mediante solicitudes especialmente construidas. Esto permite que atacantes con acceso de inicio de sesión dañen o manipulen archivos del sistema.

Detalle técnico

Vulnerabilidad de traversal de ruta en el endpoint de copia del archivo maxtime/api/database/database.lua permite que atacantes autenticados elijan restricciones de directorio y sobrescriban archivos arbitrarios. La vulnerabilidad requiere credenciales de autenticación válidas y permite manipulación del sistema de archivos mediante solicitudes HTTP elaboradas, impactando confidencialidad e integridad de recursos protegidos.

Resumen generado y traducido por IA a partir de la descripción oficial.

A CWE-35 "Path Traversal" in maxtime/api/database/database.lua (copy endpoint) in Q-Free MaxTime less than or equal to version 2.11.0 allows an authenticated remote attacker to overwrite sensitive files via crafted HTTP requests.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Q-Free · MaxTime

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2025-26354