CVE-2025-6173

Nome do Software Vulnerável e Versões Afetadas Webkul QloApps versão 1.6.1

Descrição Uma vulnerabilidade crítica foi encontrada no Webkul QloApps, afetando uma funcionalidade desconhecida do arquivo /admin/ajax products list.php. A manipulação do argumento packItself leva à injeção de SQL. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor confirma a existência desta falha, mas a considera um problema de baixo nível devido aos pré-requisitos de privilégio de administrador. Uma correção está planejada para uma versão futura.

Recomendações Para o Webkul QloApps versão 1.6.1, como uma solução temporária, considere restringir o acesso ao arquivo /admin/ajax products list.php até que um patch esteja disponível. Adicionalmente, evite manipular o argumento packItself no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.