CVE-2026-25861 in QloAppsinfo

Zusammenfassung

von VulDB • 03.06.2026

QloApps bis Version 1.7.0, behoben in Commit 64e9722, enthält eine Schwachstelle mit einem schwachen kryptografischen Algorithmus, die es Angreifern ermöglicht, Benutzeranmeldeinformationen zu kompromittieren, indem die Verwendung von MD5 für die Passwort-Hashing-Funktion in der Funktion Tools::encrypt() innerhalb von classes/Tools.php ausgenutzt wird, die einen statischen Cookie-Schlüssel mit dem angegebenen Passwort verkettet. Angreifer können Offline-Brute-Force-Angriffe gegen die MD5-Hashes durchführen, wobei das Risiko durch automatisch generierte 8-stellige Passwörter erhöht wird, die bei der Konvertierung von Gast- zu Kundenkonten in classes/Customer.php zugewiesen werden, was die Wiederherstellung von Anmeldeinformationen trivial macht.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

06.02.2026

Veröffentlichung

03.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368027

CPE

bereit

EPSS

0.00020

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-25861
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-25861
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-25861/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!