CVE-2026-25861

Nome do Software Vulnerável e Versões Afetadas QloApps versões anteriores ao commit 64e9722 da versão 1.7.0

Descrição O software utiliza um algoritmo criptográfico fraco para o hashing de senhas. Especificamente, a função encrypt() em classes/Tools.php utiliza MD5, concatenando uma chave de cookie estática com a senha. Isso permite que atacantes realizem ataques de força bruta offline para comprometer as credenciais do usuário. O risco é ampliado porque as conversões de conta de convidado para cliente em classes/Customer.php atribuem senhas geradas automaticamente de 8 caracteres, facilitando a recuperação de credenciais.

Recomendações Atualize para a versão que contém o commit 64e9722. Como mitigação temporária, restrinja o acesso à função encrypt() em classes/Tools.php, se possível.