CVE-2025-62416

Nome do Software Vulnerável e Versões Afetadas Versões do Bagisto anteriores a 2.3.8

Descrição O Bagisto está suscetível a Injeção de Template no Lado do Servidor (SSTI) porque a entrada fornecida pelo usuário não é devidamente sanitizada ao processar descrições de produtos com o motor de template no lado do servidor. Um atacante com permissões de criação de produtos pode injetar expressões de template que o backend avalia, potencialmente levando à Execução Remota de Código (RCE). O campo de descrição do produto é passado para a view sem sanitização ou escape adequados, permitindo que dados do usuário executem código de template arbitrário. A exploração bem-sucedida pode permitir que atacantes executem código PHP arbitrário ou comandos do sistema, leiam variáveis de ambiente sensíveis, chaves de API ou credenciais de banco de dados, desfigurem a aplicação, estabeleçam persistência ou escalem privilégios.

Recomendações Atualize para a versão 2.3.8 ou superior do Bagisto.