Podatność w produkcie Q-Free MaxTime (wersje do 2.11.0 włącznie) umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do krytycznych funkcji systemu bez jakiejkolwiek weryfikacji tożsamości. Ocena CVSS 9.8 oznacza najwyższy poziom zagrożenia, ponieważ exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
A CWE-306 "Missing Authentication for Critical Function" in maxtime/handleRoute.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to affect the device confidentiality, integrity, or availability in multiple unspecified ways via crafted HTTP requests.
Podatność tkwi w pliku maxtime/handleRoute.lua, gdzie krytyczne funkcje routingu są dostępne bez mechanizmu uwierzytelnienia (CWE-306). Atakujący może wysyłać spreparowane żądania HTTP bezpośrednio do podatnego endpointu, omijając całkowicie warstwę kontroli dostępu. Brak wymaganego uwierzytelnienia oznacza, że każdy zdalny użytkownik z dostępem sieciowym do urządzenia może wywołać te funkcje.
Atakujący może wpłynąć na poufność, integralność oraz dostępność urządzenia na wiele nieokreślonych sposobów, co może obejmować nieautoryzowany odczyt danych, modyfikację konfiguracji lub zakłócenie działania systemu zarządzania ruchem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do urządzenia poprzez firewall oraz segmentację sieci, tak aby interfejs zarządzania nie był dostępny z niezaufanych sieci.
Q-Free MaxTime w wersji 2.11.0 oraz wcześniejszych
Szczegółowe advisory techniczne zostało opublikowane przez Nozomi Networks Labs pod adresem wskazanym w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HQ Free Maxtime
APPQ-Free≤ 2.11.0
Powiązane podatności
Q-Free MaxTime: brak uwierzytelnienia umożliwia włączenie trybu gościa bez hasła
Q-Free MaxTime: tworzenie kont bez uwierzytelnienia (w tym kont admina)
Q-Free MaxTime: zakodowane hasło root umożliwia zdalny RCE przez SSH
Q-Free MaxTime: resetowanie haseł bez uwierzytelnienia (CWE-306)
Q-Free MaxTime: brak uwierzytelnienia umożliwia zmianę uprawnień grup użytkowników