CVE-2023-36236
https://notcve.org/view.php?id=CVE-2023-36236
Cross Site Scripting vulnerability in webkil Bagisto v.1.5.0 and before allows an attacker to execute arbitrary code via a crafted SVG file uplad. Vulnerabilidad de cross site scripting en webkil Bagisto v.1.5.0 y anteriores permite a un atacante ejecutar código arbitrario a través de una carga de archivo SVG manipulado. • https://bagisto.com/en https://github.com/Ek-Saini/security/blob/main/XSS_via_fileupload-bagisto https://github.com/bagisto/bagisto/pull/4764/commits/7bbf0c4bb565fc2601f031f9bbcdfa06e24dbd45 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2023-33570
https://notcve.org/view.php?id=CVE-2023-33570
Bagisto v1.5.1 is vulnerable to Server-Side Template Injection (SSTI). • https://siltonrenato02.medium.com/a-brief-summary-about-a-ssti-to-rce-in-bagisto-e900ac450490 •
CVE-2019-16403
https://notcve.org/view.php?id=CVE-2019-16403
In Webkul Bagisto before 0.1.5, the functionalities for customers to change their own values (such as address, review, orders, etc.) can also be manipulated by other customers. En Webkul Bagisto en versiones anteriores a la 0.1.5, las funcionalidades para que los clientes cambien sus propios valores (como dirección, revisión, pedidos, etc.) también pueden ser manipuladas por otros clientes. • https://github.com/bagisto/bagisto/issues/749 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2019-14933
https://notcve.org/view.php?id=CVE-2019-14933
Bagisto 0.1.5 allows CSRF under /admin URIs. Bagisto versión 0.1.5, permite un ataque de tipo CSRF bajo URIs /admin. • https://forums.bagisto.com/category/1/announcements https://github.com/bagisto/bagisto/issues/750 • CWE-352: Cross-Site Request Forgery (CSRF) •