Bagisto · Bagisto · CVE-2026-21451
**Nome do Software Vulnerável e Versões Afetadas**
Versões do Bagisto anteriores a 2.3.10
**Descrição**
O Bagisto, uma plataforma de eCommerce Laravel de código aberto, contém uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no editor de páginas CMS. A tentativa da plataforma de sanitizar tags `<script>` pode ser contornada manipulando a requisição HTTP POST bruta antes do envio. Isso permite que JavaScript arbitrário seja armazenado no conteúdo do CMS e executado quando a página é visualizada ou editada. Isso representa um risco de alta severidade para administradores, potencialmente levando à tomada completa de conta, sequestro do backend e execução de scripts maliciosos. A vulnerabilidade existe devido à validação de entrada insuficiente ao manipular o conteúdo da página CMS.
**Recomendações**
Atualize para a versão 2.3.10 ou posterior.