CRITICAL🇬🇧 English

CVE-2025-26345

Q-Free MaxTime: brak uwierzytelnienia umożliwia zmianę uprawnień grup użytkowników

CVSS 9.8v3.1pub. 2025-02-12upd. 2025-10-24

Podatność CWE-306 w oprogramowaniu Q-Free MaxTime w wersji 2.11.0 i wcześniejszych pozwala nieuwierzytelnionemu atakującemu zdalnie modyfikować uprawnienia grup użytkowników. Wynika to z braku mechanizmu uwierzytelnienia dla krytycznej funkcji zarządzania uprawnieniami, co stanowi poważne zagrożenie dla integralności systemu.

Pokaż oryginał (EN)

A CWE-306 "Missing Authentication for Critical Function" in maxprofile/menu/routes.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to edit user group permissions via crafted HTTP requests.

🤖 Analiza AI
Jak działa

Podatność znajduje się w pliku maxprofile/menu/routes.lua obsługującym routing żądań HTTP. Funkcja odpowiedzialna za edycję uprawnień grup użytkowników nie wymaga żadnego uwierzytelnienia przed jej wykonaniem. Atakujący może wysyłać spreparowane żądania HTTP bezpośrednio do podatnego endpointu, omijając całkowicie mechanizmy kontroli dostępu i modyfikując uprawnienia dowolnych grup użytkowników.

Skutki

Nieuwierzytelniony atakujący zdalny może dowolnie modyfikować uprawnienia grup użytkowników w systemie, co może prowadzić do eskalacji uprawnień, nieautoryzowanego dostępu do chronionych zasobów oraz pełnej kompromitacji poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania Q-Free MaxTime wyłącznie do zaufanych hostów oraz monitorowanie ruchu HTTP do podatnych endpointów do czasu wdrożenia aktualizacji.

Kogo dotyczy

Q-Free MaxTime w wersji 2.11.0 oraz wszystkich wcześniejszych wersjach.

Uwagi

Podatność została opisana przez Nozomi Networks Labs w ramach ich programu ujawniania podatności (advisory dostępny pod adresem nozominetworks.com).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Q Free Maxtime

    APP
    Q-Free
    ≤ 2.11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-26342CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: tworzenie kont bez uwierzytelnienia (w tym kont admina)

CVE-2025-26341CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: resetowanie haseł bez uwierzytelnienia (CWE-306)

CVE-2025-26339CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia dla krytycznej funkcji w Q-Free MaxTime

CVE-2025-1100CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: zakodowane hasło root umożliwia zdalny RCE przez SSH

CVE-2025-26344CRITICAL9.8PL ✓ten sam produkt

Q-Free MaxTime: brak uwierzytelnienia umożliwia włączenie trybu gościa bez hasła