Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-62415CVSS 6.9

CVE-2025-62415: XSS in Bagisto eCommerce Platform

Plattform

laravel

Komponente

bagisto/bagisto

Behoben in

2.3.8

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2025-62415 is a cross-site scripting (XSS) vulnerability discovered in Bagisto, an open-source Laravel eCommerce platform. This flaw allows authenticated attackers, such as administrators, to inject malicious HTML and JavaScript code through the TinyMCE image upload functionality. Successful exploitation can lead to session hijacking, data theft, and defacement of the eCommerce site. The vulnerability impacts versions of Bagisto up to 2.3.8, and a patch is available in version 2.3.8.

PHP / Composer

Erkenne diese CVE in deinem Projekt

Lade deine composer.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

composer.lock hochladen

Auswirkungen und Angriffsszenarienwird übersetzt…

The primary impact of CVE-2025-62415 is the potential for an attacker to execute arbitrary JavaScript code within the context of a user's browser, specifically targeting administrators or other users with sufficient privileges. This can be leveraged to steal session cookies, allowing the attacker to impersonate the user and gain unauthorized access to sensitive data and functionalities within the Bagisto eCommerce platform. An attacker could also inject malicious scripts to redirect users to phishing sites, display deceptive content, or modify the appearance of the website to trick users into divulging information. The blast radius extends to any user who views the content containing the injected script, potentially compromising the entire user base.

Ausnutzungskontextwird übersetzt…

CVE-2025-62415 has a Medium exploitation probability based on the requirement of authenticated access. No public proof-of-concept (POC) code has been publicly released as of the publication date. The vulnerability was published on 2025-10-16. It is not currently listed on KEV or EPSS, suggesting a low level of immediate threat. Monitor security advisories and threat intelligence feeds for any indications of active exploitation.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.03% (8% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N6.9MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredHighErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Hoch — Administrator- oder Privilegienkonto erforderlich.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentebagisto/bagisto
Herstellerbagisto
Höchstversion< 2.3.8
Behoben in2.3.8

Schwachstellen-Klassifikation (CWE)

CWE-80CWE-87

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The recommended mitigation for CVE-2025-62415 is to immediately upgrade Bagisto to version 2.3.8 or later, which contains the fix for this vulnerability. If upgrading is not immediately feasible, consider implementing a Web Application Firewall (WAF) rule to block uploads of HTML files containing JavaScript code. Additionally, carefully review and sanitize all user-generated content before displaying it on the website. Regularly audit user roles and permissions to ensure that only authorized personnel have access to administrative functionalities. After upgrading, confirm the fix by attempting to upload a test HTML file containing a simple JavaScript alert and verifying that the alert does not execute.

So behebenwird übersetzt…

Actualice Bagisto a la versión 2.3.8 o superior. Esta versión corrige la vulnerabilidad XSS en la funcionalidad de carga de imágenes de TinyMCE. La actualización evitará que atacantes ejecuten código JavaScript malicioso en el contexto del navegador de los administradores.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2025-62415 — XSS in Bagisto eCommerce Platform?

CVE-2025-62415 is a cross-site scripting (XSS) vulnerability affecting Bagisto versions up to 2.3.8. It allows authenticated attackers to upload malicious HTML files via TinyMCE, potentially executing JavaScript in a user's browser.

Am I affected by CVE-2025-62415 in Bagisto eCommerce Platform?

You are affected if you are running Bagisto version 2.3.8 or earlier. Verify your version and upgrade immediately to mitigate the risk.

How do I fix CVE-2025-62415 in Bagisto eCommerce Platform?

Upgrade Bagisto to version 2.3.8 or later. As a temporary workaround, implement a WAF rule to block HTML file uploads containing JavaScript.

Is CVE-2025-62415 being actively exploited?

As of the publication date, there are no public reports of active exploitation. However, it's crucial to apply the patch promptly to prevent potential future attacks.

Where can I find the official Bagisto advisory for CVE-2025-62415?

Refer to the official Bagisto security advisories and release notes on the Bagisto website or GitHub repository for the latest information and updates regarding CVE-2025-62415.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
PHP / Composer

Erkenne diese CVE in deinem Projekt

Lade deine composer.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

composer.lock hochladen
liveKostenloser Scan

Scannen Sie jetzt Ihr PHP / Composer-Projekt – kein Konto

Laden Sie Ihr composer.lock hoch und erhalten Sie den Schwachstellenbericht sofort. Kein Konto. Das Hochladen der Datei ist nur der Anfang: mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack-/E-Mail-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...