Plateforme
laravel
Composant
bagisto/bagisto
Corrigé dans
2.3.9
CVE-2025-62414 affects Bagisto, an open-source Laravel eCommerce platform. This vulnerability resides within the “Create New Customer” feature of the admin panel, allowing attackers to inject malicious JavaScript. Successful exploitation could lead to session hijacking, unauthorized access to sensitive data, and even admin-level control. The vulnerability impacts versions of Bagisto up to and including 2.3.7; a patch is available in version 2.3.8.
La vulnérabilité CVE-2025-62414 affecte Bagisto version 2.3.7, une plateforme de commerce électronique open source basée sur Laravel. Cette vulnérabilité de Cross-Site Scripting (XSS) se situe dans la fonctionnalité 'Créer un nouveau client' du panneau d'administration. Un attaquant ayant accès à ce formulaire peut injecter des payloads JavaScript malveillants dans des champs d'entrée spécifiques. Ces payloads peuvent ensuite s'exécuter dans le contexte du navigateur d'un administrateur ou d'un autre utilisateur consultant les données du client, permettant le vol de session ou l'exécution d'actions avec des privilèges d'administrateur. Le score CVSS de 6.9 indique un risque modéré, nécessitant une attention immédiate pour éviter d'éventuels compromis de sécurité.
Un attaquant a besoin d'un accès au formulaire de création de clients dans le panneau d'administration de Bagisto. Cela pourrait être obtenu par le biais de mots de passe compromis, d'une vulnérabilité dans le système d'authentification ou d'une attaque par force brute. Une fois à l'intérieur, l'attaquant peut injecter du code JavaScript malveillant dans les champs d'entrée du formulaire. Lorsque l'administrateur ou l'utilisateur consulte les données du client avec le code injecté, le script s'exécute, permettant à l'attaquant de voler des cookies de session, de rediriger l'utilisateur vers un site malveillant ou même d'exécuter des commandes sur le serveur.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau Bagisto vers la version 2.3.8 ou ultérieure. Cette version inclut une correction qui atténue le risque XSS dans le formulaire de création de clients. Il est fortement recommandé d'appliquer cette mise à niveau dès que possible. En guise de mesure préventive, envisagez de mettre en œuvre des politiques de sécurité robustes, telles que la validation des entrées et l'utilisation de Content Security Policy (CSP) pour restreindre l'exécution de scripts non autorisés. Surveiller régulièrement les journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre à d'éventuelles attaques.
Actualice Bagisto a la versión 2.3.8 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. La actualización se puede realizar a través de Composer, siguiendo la documentación oficial de Bagisto.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites Web légitimes. Ces scripts s'exécutent dans le navigateur de l'utilisateur, ce qui peut permettre à l'attaquant de voler des informations sensibles ou d'effectuer des actions en son nom.
La version 2.3.8 de Bagisto inclut une correction spécifique pour CVE-2025-62414, éliminant la vulnérabilité XSS dans le formulaire de création de clients. Ne pas mettre à niveau laisse votre système vulnérable aux attaques.
Si vous ne pouvez pas mettre à niveau immédiatement, mettez en œuvre des mesures de sécurité supplémentaires, telles que la validation des entrées et l'utilisation de CSP. Surveillez les journaux du serveur à la recherche d'activités suspectes.
Il existe plusieurs outils d'analyse de vulnérabilités qui peuvent vous aider à détecter le XSS sur votre site Web. Parmi les options populaires, citons OWASP ZAP et Burp Suite.
Utilisez des mots de passe forts et uniques pour vos comptes d'administrateur. Activez l'authentification à deux facteurs (2FA) chaque fois que cela est possible. Évitez d'utiliser les mêmes informations d'identification sur plusieurs sites Web.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.