一、 漏洞 CVE-2025-62416 基础信息
漏洞信息
# Bagisto 产品描述服务器端模板注入漏洞
## 概述
Bagisto 是一个基于 Laravel 的开源电子商务平台。在版本 v2.3.7 中,存在服务器端模板注入(SSTI)漏洞。
## 影响版本
- Bagisto v2.3.7
## 细节
该漏洞由于在渲染产品描述时,未对用户输入进行充分过滤或转义,导致攻击者可利用服务端模板引擎特性注入恶意表达式。
## 影响
- 具有产品创建权限的攻击者可以注入任意模板代码并由服务器进行解析。
- 潜在可能导致远程代码执行(RCE),从而完全控制服务器。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
bagisto - Server Side Template Injection (SSTI) in Product Description
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Bagisto is an open source laravel eCommerce platform. Bagisto v2.3.7 is vulnerable to Server-Side Template Injection (SSTI) due to unsanitized user input being processed by the server-side templating engine when rendering product descriptions. This allows an attacker with product creation privileges to inject arbitrary template expressions that are evaluated by the backend — potentially leading to Remote Code Execution (RCE) on the server. This vulnerability is fixed in 2.3.8.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Webkul Software Bagisto 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Webkul Software Bagisto是印度Webkul Software公司的一套开源的电子商务框架。 Webkul Software Bagisto 2.3.7版本存在安全漏洞,该漏洞源于服务器端模板引擎处理未清理的用户输入,可能导致服务器端模板注入和远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62416 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62416 的情报信息
-
标题: bagisto v2.3.7 - Server Side Template Injection (SSTI) in Product Description · Advisory · bagisto/bagisto · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62416
四、漏洞 CVE-2025-62416 的评论
暂无评论