CVE-2026-25861
ŚrednieCVSS 5.9Streszczenie
QloApps w wersji do 1.7.0 zawiera podatność na słaby algorytm kryptograficzny, który umożliwia atakującym kompromitację danych uwierzytelniających użytkowników. Wykorzystuje on MD5 do haszowania haseł w funkcji Tools::encrypt(), co ułatwia przeprowadzenie ataków brute-force na hashe MD5.
Ocena ryzyka
Ryzyko dla organizacji polega na łatwej możliwości odzyskania haseł użytkowników, szczególnie w przypadku automatycznie generowanych 8-znakowych haseł przypisywanych podczas konwersji kont gości na konta klientów. To może prowadzić do nieautoryzowanego dostępu do kont użytkowników.
Rekomendacja
Zaleca się aktualizację QloApps do wersji zawierającej poprawkę (po 1.7.0) oraz wdrożenie silniejszych algorytmów kryptograficznych do haszowania haseł, aby zwiększyć bezpieczeństwo danych uwierzytelniających.
Oryginalny opis (angielski, źródło NVD)
QloApps through 1.7.0, fixed in commit 64e9722, contains a weak cryptographic algorithm vulnerability that allows attackers to compromise user credentials by exploiting the use of MD5 for password hashing in the Tools::encrypt() function within classes/Tools.php, which concatenates a static cookie key with the supplied password. Attackers can perform offline brute-force attacks against the MD5 hashes, with the risk compounded by auto-generated 8-character passwords assigned during guest-to-customer account conversion in classes/Customer.php, making credential recovery trivial.

