CVE-2026-60120 in Bagisto
الملخص
بحسب VulDB • 10/07/2026
تحتوي نسخة Bagisto قبل الإصدار 2.4.4 على ثغرة تخزين عبر صفحات متعددة (Stored Cross-Site Scripting - XSS) ناتجة عن حقن قوالب من جانب العميل، مما يسمح للمهاجمين غير المصادق عليهم بتنفيذ أكواد JavaScript عشوائية في متصفحات المسؤولين عن طريق تسجيل حساب عميل يحتوي على حمولة ضارة في حقل الاسم الأول أو الأخير. يقوم قالب create.blade.php بعرض حقول اسم العميل دون استخدام توجيه Vue.js v-pre، مما يؤدي إلى قيام مكتبة Vue.js بتقييم التعبيرات المخزنة كأكواد JavaScript نشطة عند فتح المسؤول لصفحة إنشاء الطلب للعميل المتأثر.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.