3 results (0.012 seconds)

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1

Cross Site Scripting vulnerability in webkil Bagisto v.1.5.0 and before allows an attacker to execute arbitrary code via a crafted SVG file uplad. Vulnerabilidad de cross site scripting en webkil Bagisto v.1.5.0 y anteriores permite a un atacante ejecutar código arbitrario a través de una carga de archivo SVG manipulado. • https://bagisto.com/en https://github.com/Ek-Saini/security/blob/main/XSS_via_fileupload-bagisto https://github.com/bagisto/bagisto/pull/4764/commits/7bbf0c4bb565fc2601f031f9bbcdfa06e24dbd45 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

In Webkul Bagisto before 0.1.5, the functionalities for customers to change their own values (such as address, review, orders, etc.) can also be manipulated by other customers. En Webkul Bagisto en versiones anteriores a la 0.1.5, las funcionalidades para que los clientes cambien sus propios valores (como dirección, revisión, pedidos, etc.) también pueden ser manipuladas por otros clientes. • https://github.com/bagisto/bagisto/issues/749 • CWE-639: Authorization Bypass Through User-Controlled Key •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

Bagisto 0.1.5 allows CSRF under /admin URIs. Bagisto versión 0.1.5, permite un ataque de tipo CSRF bajo URIs /admin. • https://forums.bagisto.com/category/1/announcements https://github.com/bagisto/bagisto/issues/750 • CWE-352: Cross-Site Request Forgery (CSRF) •