Plataforma
other
Componente
maxtime
Corregido en
2.11.1
La vulnerabilidad CVE-2025-26347 es una falla de tipo CWE-306, caracterizada por la ausencia de autenticación para funciones críticas. Esta falla afecta al componente routes.lua dentro del sistema MaxTime de Q-Free, permitiendo a atacantes no autenticados modificar permisos de usuario a través de peticiones HTTP manipuladas. Las versiones afectadas son aquellas anteriores o iguales a la 2.11.0. Se recomienda actualizar a la versión 2.11.1 para mitigar el riesgo.
La ausencia de autenticación en la edición de permisos de usuario representa un riesgo significativo. Un atacante podría, sin necesidad de credenciales válidas, escalar privilegios dentro del sistema MaxTime, obteniendo control sobre cuentas de usuario con permisos elevados. Esto podría resultar en la manipulación de datos, la alteración de la configuración del sistema, o incluso el acceso completo al sistema. La falta de autenticación simplifica enormemente el proceso de ataque, reduciendo la barrera de entrada para atacantes con conocimientos básicos de HTTP. La gravedad de esta vulnerabilidad se agrava por el potencial impacto en la seguridad de la infraestructura de transporte que utiliza MaxTime.
La vulnerabilidad CVE-2025-26347 fue publicada el 12 de febrero de 2025. Actualmente no se dispone de información sobre su explotación activa en la naturaleza. La severidad de la vulnerabilidad, con un CVSS de 9.8, indica una alta probabilidad de ser explotada si no se toman medidas correctivas. Se recomienda monitorizar las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations utilizing Q-Free MaxTime in traffic management systems, particularly those with older versions (0–2.11.0) deployed in environments with limited network segmentation, are at significant risk. Shared hosting environments or deployments where user access controls are not rigorously enforced are also particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.68% (71% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 2.11.1 de MaxTime, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas incluyen la configuración de reglas de firewall para restringir el acceso al componente routes.lua solo a fuentes confiables. Además, se debe habilitar la auditoría de accesos para monitorizar cualquier intento de modificación de permisos de usuario. Implementar un sistema de detección de intrusiones (IDS) que pueda identificar patrones de tráfico sospechosos dirigidos a este componente también puede ser útil. Verifique después de la actualización que los permisos de usuario se gestionan correctamente y que no existen accesos no autorizados.
Actualice MaxTime a una versión posterior a la 2.11.0. Esto corregirá la falta de autenticación para funciones críticas y evitará que atacantes remotos no autenticados editen los permisos de usuario. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-26347 is a critical vulnerability in Q-Free MaxTime versions 0–2.11.0 that allows unauthenticated attackers to modify user permissions via HTTP requests, potentially granting unauthorized access.
If you are running Q-Free MaxTime version 0 through 2.11.0, you are affected by this vulnerability and should prioritize upgrading to a patched version.
The recommended fix is to upgrade to Q-Free MaxTime version 2.11.1 or later. As an interim measure, restrict access to the vulnerable endpoint using a WAF or proxy.
While no public exploits are currently available, the vulnerability's ease of exploitation and high severity suggest a high probability of exploitation. Monitoring is crucial.
Refer to the official Q-Free security advisory for detailed information and updates regarding CVE-2025-26347.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.