無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-62415CVSS 6.9

CVE-2025-62415: XSS in Bagisto eCommerce Platform

プラットフォーム

laravel

コンポーネント

bagisto/bagisto

修正版

2.3.8

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-62415 is a cross-site scripting (XSS) vulnerability discovered in Bagisto, an open-source Laravel eCommerce platform. This flaw allows authenticated attackers, such as administrators, to inject malicious HTML and JavaScript code through the TinyMCE image upload functionality. Successful exploitation can lead to session hijacking, data theft, and defacement of the eCommerce site. The vulnerability impacts versions of Bagisto up to 2.3.8, and a patch is available in version 2.3.8.

PHP / Composer

このCVEがあなたのプロジェクトに影響するか確認

composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。

composer.lock をアップロード

影響と攻撃シナリオ翻訳中…

The primary impact of CVE-2025-62415 is the potential for an attacker to execute arbitrary JavaScript code within the context of a user's browser, specifically targeting administrators or other users with sufficient privileges. This can be leveraged to steal session cookies, allowing the attacker to impersonate the user and gain unauthorized access to sensitive data and functionalities within the Bagisto eCommerce platform. An attacker could also inject malicious scripts to redirect users to phishing sites, display deceptive content, or modify the appearance of the website to trick users into divulging information. The blast radius extends to any user who views the content containing the injected script, potentially compromising the entire user base.

悪用の状況翻訳中…

CVE-2025-62415 has a Medium exploitation probability based on the requirement of authenticated access. No public proof-of-concept (POC) code has been publicly released as of the publication date. The vulnerability was published on 2025-10-16. It is not currently listed on KEV or EPSS, suggesting a low level of immediate threat. Monitor security advisories and threat intelligence feeds for any indications of active exploitation.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N6.9MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントbagisto/bagisto
ベンダーbagisto
最大バージョン< 2.3.8
修正版2.3.8

弱点分類 (CWE)

CWE-80CWE-87

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The recommended mitigation for CVE-2025-62415 is to immediately upgrade Bagisto to version 2.3.8 or later, which contains the fix for this vulnerability. If upgrading is not immediately feasible, consider implementing a Web Application Firewall (WAF) rule to block uploads of HTML files containing JavaScript code. Additionally, carefully review and sanitize all user-generated content before displaying it on the website. Regularly audit user roles and permissions to ensure that only authorized personnel have access to administrative functionalities. After upgrading, confirm the fix by attempting to upload a test HTML file containing a simple JavaScript alert and verifying that the alert does not execute.

修正方法翻訳中…

Actualice Bagisto a la versión 2.3.8 o superior. Esta versión corrige la vulnerabilidad XSS en la funcionalidad de carga de imágenes de TinyMCE. La actualización evitará que atacantes ejecuten código JavaScript malicioso en el contexto del navegador de los administradores.

よくある質問翻訳中…

What is CVE-2025-62415 — XSS in Bagisto eCommerce Platform?

CVE-2025-62415 is a cross-site scripting (XSS) vulnerability affecting Bagisto versions up to 2.3.8. It allows authenticated attackers to upload malicious HTML files via TinyMCE, potentially executing JavaScript in a user's browser.

Am I affected by CVE-2025-62415 in Bagisto eCommerce Platform?

You are affected if you are running Bagisto version 2.3.8 or earlier. Verify your version and upgrade immediately to mitigate the risk.

How do I fix CVE-2025-62415 in Bagisto eCommerce Platform?

Upgrade Bagisto to version 2.3.8 or later. As a temporary workaround, implement a WAF rule to block HTML file uploads containing JavaScript.

Is CVE-2025-62415 being actively exploited?

As of the publication date, there are no public reports of active exploitation. However, it's crucial to apply the patch promptly to prevent potential future attacks.

Where can I find the official Bagisto advisory for CVE-2025-62415?

Refer to the official Bagisto security advisories and release notes on the Bagisto website or GitHub repository for the latest information and updates regarding CVE-2025-62415.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
PHP / Composer

このCVEがあなたのプロジェクトに影響するか確認

composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。

composer.lock をアップロード
scanZone.liveBadgescanZone.eyebrow

PHP / Composerプロジェクトを今すぐスキャン — アカウント不要

Upload your composer.lock and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...