Scanner gratuitement

Cette page n'a pas encore été traduite dans votre langue. Affichage du contenu en anglais pendant que nous y travaillons.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-62415CVSS 6.9

CVE-2025-62415: XSS in Bagisto eCommerce Platform

Plateforme

laravel

Composant

bagisto/bagisto

Corrigé dans

2.3.8

Voir sur NVD
Sauvegarder
Traduction vers votre langue…

CVE-2025-62415 is a cross-site scripting (XSS) vulnerability discovered in Bagisto, an open-source Laravel eCommerce platform. This flaw allows authenticated attackers, such as administrators, to inject malicious HTML and JavaScript code through the TinyMCE image upload functionality. Successful exploitation can lead to session hijacking, data theft, and defacement of the eCommerce site. The vulnerability impacts versions of Bagisto up to 2.3.8, and a patch is available in version 2.3.8.

PHP / Composer

Détecte cette CVE dans ton projet

Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.

Téléverser composer.lock

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2025-62415 dans Bagisto (version 2.3.7) permet à un attaquant disposant de privilèges suffisants (par exemple, administrateur) de télécharger un fichier HTML malveillant contenant du JavaScript intégré via la fonctionnalité de téléchargement d'images de TinyMCE. Une fois visualisé, le code malveillant s'exécute dans le contexte du navigateur de l'administrateur/utilisateur. Cela pourrait entraîner le vol d'informations sensibles, la manipulation de données, voire la prise de contrôle totale du compte administrateur. Le risque est important, en particulier pour les boutiques en ligne qui dépendent de Bagisto pour gérer leur inventaire et leurs transactions. La gravité de la vulnérabilité est classée avec un score CVSS de 6.9, indiquant un risque moyen à élevé.

Contexte d'Exploitation

Un attaquant disposant d'un accès administrateur à la boutique Bagisto peut exploiter cette vulnérabilité. Le processus consiste à créer un fichier HTML contenant du code JavaScript malveillant, déguisé en image. Ce fichier est téléchargé via l'éditeur TinyMCE. Lorsque l'administrateur ou un utilisateur disposant des autorisations de visualisation visualise l'image, le code JavaScript s'exécute dans son navigateur. La complexité de l'exploitation est relativement faible, car elle nécessite principalement la capacité de télécharger des fichiers et de créer un fichier HTML de base avec JavaScript. L'absence de validation appropriée des fichiers téléchargés par TinyMCE est la cause principale de la vulnérabilité.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.03% (percentile 8%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N6.9MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantbagisto/bagisto
Fournisseurbagisto
Version maximale< 2.3.8
Corrigé dans2.3.8

Classification de Faiblesse (CWE)

CWE-80CWE-87

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La solution à cette vulnérabilité est de mettre à niveau Bagisto vers la version 2.3.8 ou ultérieure. Cette version inclut un correctif qui empêche l'exécution de code malveillant injecté via le téléchargement d'images de TinyMCE. De plus, il est recommandé de revoir et de renforcer les politiques de sécurité de votre boutique en ligne, y compris la mise en œuvre de l'authentification à deux facteurs pour les administrateurs et la surveillance régulière de l'activité du système à la recherche de signes de compromission. Des tests approfondis après la mise à niveau sont essentiels pour garantir que toutes les fonctionnalités fonctionnent correctement et que la vulnérabilité est efficacement atténuée. La priorisation de la mise à niveau est essentielle pour minimiser le risque d'exploitation.

Comment corrigertraduction en cours…

Actualice Bagisto a la versión 2.3.8 o superior. Esta versión corrige la vulnerabilidad XSS en la funcionalidad de carga de imágenes de TinyMCE. La actualización evitará que atacantes ejecuten código JavaScript malicioso en el contexto del navegador de los administradores.

Questions fréquentes

Qu'est-ce que CVE-2025-62415 dans Bagisto ?

TinyMCE est un éditeur de texte riche open source couramment utilisé pour permettre aux utilisateurs de créer et de modifier du contenu HTML dans des applications web.

Suis-je affecté(e) par CVE-2025-62415 dans Bagisto ?

Si vous utilisez Bagisto version 2.3.7 ou antérieure, vous êtes vulnérable. Vérifiez votre version dans le panneau d'administration de Bagisto.

Comment corriger CVE-2025-62415 dans Bagisto ?

Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès à l'éditeur TinyMCE aux utilisateurs de confiance et de surveiller l'activité du système à la recherche d'anomalies.

CVE-2025-62415 est-il activement exploité ?

Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la surveillance de l'activité du système et la révision des fichiers téléchargés peuvent aider à identifier les attaques potentielles.

Où trouver l'avis officiel de Bagisto pour CVE-2025-62415 ?

Le code JavaScript injecté pourrait être utilisé pour voler des cookies, rediriger vers des sites Web malveillants, afficher des pop-ups indésirables ou même exécuter des commandes sur le serveur (en fonction de la configuration).

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
PHP / Composer

Détecte cette CVE dans ton projet

Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.

Téléverser composer.lock
en directfree scan

Scannez votre projet PHP / Composer maintenant — sans compte

Téléchargez votre composer.lock et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...