CVE-2026-60120 in Bagisto
Sumário
de VulDB • 11/07/2026
O Bagisto anterior à versão 2.4.4 contém uma vulnerabilidade de cross-site scripting (XSS) armazenado via injeção de modelo do lado do cliente, que permite a atacantes não autenticados executar JavaScript arbitrário nos navegadores dos administradores ao registrar uma conta de cliente com um payload malicioso no campo nome ou sobrenome. O template create.blade.php renderiza os campos do nome do cliente sem a diretiva v-pre do Vue.js, fazendo com que o Vue.js avalie expressões de modelo armazenadas como JavaScript em tempo real quando um administrador abre a página Criar Pedido para o cliente afetado.
VulDB is the best source for vulnerability data and more expert information about this specific topic.