CVE-2026-60120 in Bagistoinfo

Zusammenfassung

von VulDB • 09.07.2026

Bagisto vor Version 2.4.4 enthält eine Stored Cross-Site Scripting (XSS)-Schwachstelle durch Client-seitige Template-Injection, die es nicht authentifizierten Angreifern ermöglicht, beliebigen JavaScript-Code in den Browsern von Administratoren auszuführen, indem sie ein Kundenkonto mit einer bösartigen Payload im Feld für Vorname oder Nachnamen registrieren. Die create.blade.php-Vorlage rendert Kundennamensfelder ohne die Vue.js v-pre-Direktive, wodurch Vue.js gespeicherte Template-Ausdrücke als Live-JavaScript auswertet, wenn ein Administrator die Seite „Bestellung erstellen“ für den betroffenen Kunden öffnet.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

08.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377320

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!