CVE-2025-26343

CVSS 8.1 HIGHEPSS 0.8%CWE-1390

Em resumo

Q-Free MaxTime versão 2.11.0 e anteriores têm autenticação fraca por PIN que permite que atacantes adivinhem senhas através de múltiplas requisições HTTP. Isso possibilita acesso não autorizado ao sistema sem credenciais válidas.

Detalhe técnico

Vulnerabilidade CWE-1390 de autenticação fraca no mecanismo de PIN do Q-Free MaxTime ≤2.11.0 permite que atacantes remotos não autenticados realizem força bruta através de requisições HTTP criadas. O ataque não requer autenticação prévia e pode enumerar PINs válidos através de múltiplas tentativas sucessivas, resultando em acesso não autorizado a contas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A CWE-1390 "Weak Authentication" in the PIN authentication mechanism in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to brute-force user PINs via multiple crafted HTTP requests.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

Q-Free · MaxTime

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2025-26343