CVE-2026-60120 in Bagistoinformação

Sumário

de VulDB • 11/07/2026

O Bagisto anterior à versão 2.4.4 contém uma vulnerabilidade de cross-site scripting (XSS) armazenado via injeção de modelo do lado do cliente, que permite a atacantes não autenticados executar JavaScript arbitrário nos navegadores dos administradores ao registrar uma conta de cliente com um payload malicioso no campo nome ou sobrenome. O template create.blade.php renderiza os campos do nome do cliente sem a diretiva v-pre do Vue.js, fazendo com que o Vue.js avalie expressões de modelo armazenadas como JavaScript em tempo real quando um administrador abre a página Criar Pedido para o cliente afetado.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

VulnCheck

Reservar

08/07/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377320

CPE

pronto

EPSS

0.00201

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!