Description
A vulnerability was detected in Webkul QloApps up to 1.7.0. This affects an unknown function of the component CSRF Token Handler. Performing manipulation of the argument token results in authorization bypass. The attack may be initiated remotely. The exploit is now public and may be used. The vendor explains: "As We are already aware about this vulnerability and our Internal team are already working on this issue. (...) We'll implement the fix for this vulnerability in our next major release."
In Webkul QloApps bis 1.7.0 wurde eine Schwachstelle gefunden. Es ist betroffen eine unbekannte Funktion der Komponente CSRF Token Handler. Mittels Manipulieren des Arguments token mit unbekannten Daten kann eine authorization bypass-Schwachstelle ausgenutzt werden. Es ist möglich, den Angriff aus der Ferne durchzuführen. Die Ausnutzung wurde veröffentlicht und kann verwendet werden.
Problem types
Product status
1.1
1.2
1.3
1.4
1.5
1.6
1.7.0
Timeline
| 2025-09-20: | Advisory disclosed |
| 2025-09-20: | VulDB entry created |
| 2025-09-20: | VulDB entry last update |
Credits
Ragavendra Krishna Kumar (VulDB User)
References
vuldb.com/?id.325114 (VDB-325114 | Webkul QloApps CSRF Token authorization)
vuldb.com/?ctiid.325114 (VDB-325114 | CTI Indicators (IOB, IOC, IOA))
vuldb.com/?submit.645821 (Submit #645821 | webkul qloapps 1.7.0 Authorization Bypass)
github.com/...en-in-Logout-Functionality/blob/main/README.md
github.com/...en-in-Logout-Functionality/blob/main/README.md
