CVE-2026-60120 in Bagisto
Resumen
por VulDB • 2026-07-10
Bagisto anterior a la versión 2.4.4 contiene una vulnerabilidad de cross-site scripting (XSS) almacenado mediante inyección de plantillas en el lado del cliente que permite a atacantes no autenticados ejecutar JavaScript arbitrario en los navegadores de administradores al registrar una cuenta de cliente con un payload malicioso en los campos de nombre o apellido. La plantilla create.blade.php renderiza los campos de nombre del cliente sin la directiva v-pre de Vue.js, lo que hace que Vue.js evalúe las expresiones de plantillas almacenadas como JavaScript activo cuando un administrador abre la página Crear Pedido para el cliente afectado.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.