Plataforma
other
Componente
maxtime
Corregido en
2.11.1
CVE-2025-26341 describe una grave vulnerabilidad de tipo CWE-306, específicamente una falta de autenticación para funciones críticas, presente en el componente routes.lua del módulo accounts de Q-Free MaxTime. Esta falla permite a un atacante remoto no autenticado restablecer las contraseñas de cualquier usuario a través de solicitudes HTTP manipuladas. La vulnerabilidad afecta a versiones de MaxTime desde 0 hasta la 2.11.0, siendo crucial aplicar la actualización a la versión 2.11.1 para mitigar el riesgo.
La falta de autenticación en el proceso de restablecimiento de contraseñas en MaxTime representa un riesgo significativo para la seguridad de las cuentas de usuario. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a las cuentas de los usuarios, comprometiendo la confidencialidad, integridad y disponibilidad de los datos asociados. El impacto potencial incluye la manipulación de datos, la suplantación de identidad y la interrupción de los servicios. Aunque no se menciona específicamente en la descripción, la capacidad de restablecer contraseñas podría permitir el acceso a información sensible almacenada en el sistema MaxTime, dependiendo de los permisos asociados a cada cuenta de usuario.
La vulnerabilidad CVE-2025-26341 fue publicada el 12 de febrero de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. No se ha añadido a la lista KEV de CISA ni se han identificado públicamente pruebas de concepto (PoCs) disponibles. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing Q-Free MaxTime versions 0 through 2.11.0, particularly those with publicly accessible instances or those lacking robust network segmentation, are at significant risk. Shared hosting environments where multiple users share the same MaxTime instance are also particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.99% (77% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-26341 es actualizar a la versión 2.11.1 de Q-Free MaxTime, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales como el fortalecimiento de las políticas de contraseñas, la habilitación de la autenticación multifactor (MFA) y la monitorización del tráfico de red en busca de patrones sospechosos. Además, se debe revisar la configuración del servidor web para asegurar que no se expongan endpoints innecesarios que podrían ser utilizados en ataques. Después de la actualización, confirme que el proceso de restablecimiento de contraseñas requiere autenticación válida.
Actualice Q-Free MaxTime a una versión posterior a la 2.11.0. Esto solucionará la falta de autenticación para la función crítica de restablecimiento de contraseñas. Consulte el aviso de seguridad del proveedor para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26341 is a critical vulnerability in Q-Free MaxTime versions 0–2.11.0 that allows unauthenticated attackers to reset user passwords via HTTP requests.
If you are using Q-Free MaxTime versions 0 through 2.11.0, you are potentially affected by this vulnerability.
Upgrade to Q-Free MaxTime version 2.11.1 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the vulnerability's severity suggests it may become a target.
Refer to the Q-Free security advisory for detailed information and updates regarding CVE-2025-26341.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.