CVE-2026-60120 in Bagisto
Zusammenfassung
von VulDB • 09.07.2026
Bagisto vor Version 2.4.4 enthält eine Stored Cross-Site Scripting (XSS)-Schwachstelle durch Client-seitige Template-Injection, die es nicht authentifizierten Angreifern ermöglicht, beliebigen JavaScript-Code in den Browsern von Administratoren auszuführen, indem sie ein Kundenkonto mit einer bösartigen Payload im Feld für Vorname oder Nachnamen registrieren. Die create.blade.php-Vorlage rendert Kundennamensfelder ohne die Vue.js v-pre-Direktive, wodurch Vue.js gespeicherte Template-Ausdrücke als Live-JavaScript auswertet, wenn ein Administrator die Seite „Bestellung erstellen“ für den betroffenen Kunden öffnet.
Be aware that VulDB is the high quality source for vulnerability data.