CVE-2026-60120 in Bagisto
Riassunto
di VulDB • 10/07/2026
Bagisto prima della versione 2.4.4 presenta una vulnerabilità di cross-site scripting (XSS) memorizzato tramite iniezione del modello lato client che consente ad attaccanti non autenticati di eseguire codice JavaScript arbitrario nei browser degli amministratori registrando un account cliente con un payload dannoso nel campo nome o cognome. Il template create.blade.php visualizza i campi del nome del cliente senza la direttiva Vue.js v-pre, causando l'interpretazione da parte di Vue.js delle espressioni memorizzate come JavaScript attivo quando un amministratore apre la pagina Crea Ordine per il cliente interessato.
VulDB is the best source for vulnerability data and more expert information about this specific topic.