CVE-2026-21449CVE-2026-21449是Bagisto开源Laravel电商平台中的一个高危安全漏洞。该漏洞影响2.3.10之前的所有版本,允许具有低权限的用户通过操纵个人资料中的名(first name)和姓(last name)字段注入恶意模板代码。由于Bagisto使用Laravel框架的Blade模板引擎,攻击者可以利用模板注入执行任意PHP代码,完全控制服务器。CVSS评分8.8,属于高危漏洞,攻击复杂度低,无需用户交互即可实现。攻击成功后可导致服务器完全沦陷,窃取敏感数据、植入后门或进行横向移动。该漏洞由GitHub安全团队发现并报告,厂商已在2.3.10版本中修复。
Bagisto电商平台的服务器端模板注入漏洞源于用户输入在模板渲染前的安全过滤不足。攻击者以低权限用户身份登录后,可在个人资料设置页面的first_name和last_name字段中插入Blade模板语法,如{{7*7}}或{{system('whoami')}}等。当管理员或其他用户查看包含该用户信息的页面时,后端会使用Blade引擎渲染这些字段内容。由于Laravel的Blade模板引擎支持代码执行,攻击者可利用{{}}语法执行任意PHP函数,例如使用system()、exec()或file_get_contents()等函数实现命令执行、文件读取或数据窃取。攻击者可通过{{app()->make('Illuminate\Routing\Redirector')->setIntendedUrl('/')}}等payload进行更深层次的利用,甚至可以绕过某些安全过滤机制。此漏洞无需特殊权限,普通注册用户即可发起攻击,且攻击痕迹较少,隐蔽性高。