CVE-2025-62414

Nome do Software Vulnerável e Versões Afetadas Versões do Bagisto anteriores a 2.3.8

Descrição A versão 2.3.7 do Bagisto contém uma vulnerabilidade de Cross-Site Scripting (XSS) na funcionalidade "Create New Customer" (Criar Novo Cliente) no painel administrativo. Um atacante que consiga acessar o formulário de criação de cliente no painel administrativo pode injetar payloads maliciosos de JavaScript nos campos de entrada. Esses payloads podem ser executados no contexto do navegador de um administrador ou de outro usuário que visualize os dados do cliente, possibilitando potencialmente o roubo de sessão ou ações não autorizadas de nível administrativo. O problema ocorre porque os campos de entrada não são devidamente sanitizados ou escapados ao renderizar os dados do cliente na interface do administrador, resultando em um XSS armazenado, onde o script malicioso persiste no banco de dados e é executado quando os dados são visualizados. Os campos de entrada vulneráveis incluem first name e last name.

Recomendações Atualize para a versão 2.3.8 ou posterior do Bagisto para corrigir esta vulnerabilidade.