CRITICAL🇬🇧 English

CVE-2025-26339

Brak uwierzytelnienia dla krytycznej funkcji w Q-Free MaxTime

CVSS 9.8v3.1pub. 2025-02-12upd. 2025-10-24

Podatność w produkcie Q-Free MaxTime (wersje do 2.11.0 włącznie) umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do krytycznych funkcji systemu bez jakiejkolwiek weryfikacji tożsamości. Ocena CVSS 9.8 oznacza najwyższy poziom zagrożenia, ponieważ exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

A CWE-306 "Missing Authentication for Critical Function" in maxtime/handleRoute.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to affect the device confidentiality, integrity, or availability in multiple unspecified ways via crafted HTTP requests.

🤖 Analiza AI
Jak działa

Podatność tkwi w pliku maxtime/handleRoute.lua, gdzie krytyczne funkcje routingu są dostępne bez mechanizmu uwierzytelnienia (CWE-306). Atakujący może wysyłać spreparowane żądania HTTP bezpośrednio do podatnego endpointu, omijając całkowicie warstwę kontroli dostępu. Brak wymaganego uwierzytelnienia oznacza, że każdy zdalny użytkownik z dostępem sieciowym do urządzenia może wywołać te funkcje.

Skutki

Atakujący może wpłynąć na poufność, integralność oraz dostępność urządzenia na wiele nieokreślonych sposobów, co może obejmować nieautoryzowany odczyt danych, modyfikację konfiguracji lub zakłócenie działania systemu zarządzania ruchem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do urządzenia poprzez firewall oraz segmentację sieci, tak aby interfejs zarządzania nie był dostępny z niezaufanych sieci.

Kogo dotyczy

Q-Free MaxTime w wersji 2.11.0 oraz wcześniejszych

Uwagi

Szczegółowe advisory techniczne zostało opublikowane przez Nozomi Networks Labs pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Q Free Maxtime

    APP
    Q-Free
    ≤ 2.11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-26344CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: brak uwierzytelnienia umożliwia włączenie trybu gościa bez hasła

CVE-2025-26342CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: tworzenie kont bez uwierzytelnienia (w tym kont admina)

CVE-2025-1100CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: zakodowane hasło root umożliwia zdalny RCE przez SSH

CVE-2025-26341CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: resetowanie haseł bez uwierzytelnienia (CWE-306)

CVE-2025-26345CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: brak uwierzytelnienia umożliwia zmianę uprawnień grup użytkowników

CVE-2025-26339 — Brak uwierzytelnienia dla krytycznej funkcji w Q-Free MaxTime — CRITICAL 9.8 | CVEbaza.pl