CVE-2025-62418

Nome do Software Vulnerável e Versões Afetadas Versões do Bagisto anteriores à 2.3.8 Versão 2.3.7 do Bagisto

Descrição A funcionalidade de upload de imagens do TinyMCE permite que um atacante com privilégios suficientes faça upload de um arquivo SVG manipulado contendo JavaScript embutido. Quando visualizado, o código malicioso é executado no contexto do navegador do administrador/usuário. O problema subjacente é a falta de sanitização de arquivos SVG, permitindo que conteúdo potencialmente inseguro, como scripts e manipuladores de eventos, seja executado quando o SVG é renderizado ou incorporado. A aplicação não valida o conteúdo do arquivo nem remove tags potencialmente prejudiciais. Isso pode levar ao sequestro de sessão, ações não autorizadas ou escalonamento de privilégios se um atacante atingir com sucesso administradores ou editores que visualizam o conteúdo afetado.

Recomendações Atualize para a versão 2.3.8 ou posterior do Bagisto.