CVE-2025-62415

Nome do Software Vulnerável e Versões Afetadas Versões do Bagisto anteriores à 2.3.8

Descrição A funcionalidade de upload de imagem do TinyMCE no Bagisto permite que um atacante com privilégios suficientes faça upload de um arquivo HTML manipulado contendo JavaScript embutido. Ao ser visualizado, o código malicioso é executado no contexto do navegador do administrador/usuário. A aplicação tenta bloquear uploads de arquivos HTML, mas se o backend detectar conteúdo HTML ou JavaScript dentro de um arquivo .png, a extensão do arquivo é automaticamente convertida para .html. Isso permite a execução de código JavaScript quando o arquivo HTML é visualizado. Um atacante com privilégios de upload pode ter como alvo outros administradores ou editores que visualizam o conteúdo, potencialmente levando ao sequestro de sessão, ações não autorizadas ou escalonamento de privilégios.

Recomendações Atualize para a versão 2.3.8 ou posterior do Bagisto.