Bagisto中的 XSS 攻击漏洞CVE-2025-60880

Bagisto是一款强大的电子商务软件，可快速搭建跨境电商、海外电商平台，也是一款无头（headless）电商平台，支持多端应用的开发。

一、基本情况

Bagisto 是一款基于 Laravel 和 Vue.js 的开源电商框架，旨在快速构建和部署功能强大的在线商店，系统支持与第三方系统快速集成对接。

Bagisto 易于设置，提供丰富的功能和扩展，使电商项目更加灵活和强大，满足小型企业到大型企业的需求，节省时间、成本和人力资源。

栋科技漏洞库关注到Bagisto管理面板中的产品创建路径存在经身份验证的存储型XSS漏洞，追踪为CVE-2025-60880，CVSS 3.X评分8.3。

二、漏洞分析

CVE-2025-60880是存在于Bagisto 2.3.6的管理面板中的产品创建路径存在一个经过身份验证的存储型XSS漏洞，该漏洞的评分相对较高。

漏洞的存在，使得经过身份验证的管理员用户可在浏览器中执行任意JavaScript代码，这可能导致会话劫持、数据被盗或未经授权的操作。

三、POC概念验证

当经过身份验证的管理员上传包含恶意JavaScript的特制SVG文件时，该漏洞被利用。

1、以经过身份验证的管理员身份登录Bagisto管理面板。

2、导航到产品创建路径。

3、上传一个包含JavaScript有效负载的特制SVG文件。

4、修改Content-Type标头后，请求将被重放。

5、恶意SVG文件存储在服务器上。

6、当访问文件的URL时，JavaScript将在用户的浏览器中执行。

管理员已设置登录后刷新可查看

 四、影响范围

Bagisto <= 2.3.6

五、修复建议

Bagisto >= 2.3.7

六、参考链接

管理员已设置登录后刷新可查看