一、 漏洞 CVE-2025-62414 基础信息
漏洞信息
# Bagisto 创建新客户XSS漏洞
## 概述
Bagisto 是一个基于 Laravel 的开源电子商务平台。在版本 2.3.7 中,管理员面板的“创建新客户”功能存在跨站脚本(XSS)漏洞。
## 影响版本
- **Bagisto <= v2.3.7**
## 漏洞细节
攻击者若具备访问管理员创建客户表单的权限,可在某些输入字段中注入恶意 JavaScript 代码。当其他用户(如管理员)查看相关客户数据时,这些恶意脚本可能在用户的浏览器上下文中执行。
## 漏洞影响
- 可能导致管理员会话被窃取;
- 攻击者可执行管理员级别的操作;
- 危害系统的完整性和安全性。
## 修复状态
该漏洞已在 **Bagisto v2.3.8** 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
bagisto - Cross Site Scripting (XSS) in Create New Customer
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Bagisto is an open source laravel eCommerce platform. In Bagisto v2.3.7, the “Create New Customer” feature (in the admin panel) is vulnerable to Cross-Site Scripting (XSS). An attacker with access to the admin create-customer form can inject malicious JavaScript payloads into certain input fields. These payloads may later execute in the context of an admin’s browser or another user viewing the customer data, enabling session theft or admin-level actions. This vulnerability is fixed in 2.3.8.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Webkul Software Bagisto 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Webkul Software Bagisto是印度Webkul Software公司的一套开源的电子商务框架。 Webkul Software Bagisto 2.3.7版本存在安全漏洞,该漏洞源于Create New Customer功能中某些输入字段未充分过滤,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62414 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62414 的情报信息
-
标题: bagisto v2.3.7 - Cross Site Scripting (XSS) in Create New Customer · Advisory · bagisto/bagisto · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62414
四、漏洞 CVE-2025-62414 的评论
暂无评论