Bagisto XSS-FileUpload Vulnerability

漏洞信息

漏洞名称： Bagisto XSS-FileUpload Vulnerability

漏洞编号：

• CVE： CVE-2024-27499

漏洞类型： 跨站可执行脚本

漏洞描述： Bagisto是一个开源的电子商务平台，基于Laravel框架构建，旨在为商家提供一个灵活、可扩展的在线商店解决方案。它广泛应用于中小型企业，用于快速搭建和管理电子商务网站。该平台支持多语言、多货币，并且具有丰富的功能模块，如产品管理、订单处理、客户管理等。此次发现的漏洞涉及跨站脚本（XSS）和文件上传功能，可能允许攻击者在受害者的浏览器中执行恶意脚本，或者上传恶意文件到服务器。漏洞的技术根源在于对用户输入的不当过滤和验证，使得攻击者能够注入恶意脚本或文件。这种漏洞的存在可能导致严重的安全风险，包括但不限于用户会话劫持、网站内容篡改、服务器端恶意代码执行等。攻击者可能无需认证即可利用此漏洞，尤其是在文件上传功能未正确限制文件类型和内容的情况下。因此，建议所有使用Bagisto的用户尽快检查并更新到最新版本，以防范潜在的安全威胁。

产品名称： Bagisto

来源： https://github.com/auspicious7/CVE-2024-27499-Bagisto-XSS-FileUpload

类型： CVE-2024:github search

来源概述