CVE-2026-21451
: Bagisto における保存型クロスサイトスクリプティング（XSS）の脆弱性

Bagisto 2.3.10 未満のバージョンにおいて、CMS ページエディタ機能に保存型クロスサイトスクリプティング（Stored XSS）の脆弱性が存在することが確認されています。

本来、Bagisto では <script> タグをサニタイズする仕組みが実装されていますが、HTTP POST リクエストを直接改変することでフィルタリングを回避可能であることが判明しています。
これにより、攻撃者は任意の JavaScript を CMS コンテンツ内に保存でき、該当ページの閲覧時または編集時にスクリプトが実行される恐れがあります。

本脆弱性は Bagisto 2.3.10 にて修正されています。

■Bagistoとは

Bagistoは、Laravelフレームワーク上に構築された、無料かつオープンソースのECプラットフォームであり、柔軟性・拡張性の高いオンラインストア構築を目的として設計されています。
開発者や企業が柔軟性・拡張性・カスタマイズ性の高いオンラインストアを構築できるよう設計されており、小規模なECサイトからエンタープライズレベルのECシステムまで幅広く利用されています。

マルチベンダー型マーケットプレイス機能、マルチテナント構成、ヘッドレスコマース対応、REST APIの提供など、現代的なEC要件に対応した多彩な機能を備えている点が特徴です。

またBagistoは、GitHub上で24,000以上のスターを獲得し、世界中の開発者から多数のコントリビューションが寄せられている、活発なオープンソースプロジェクトとして成長しています。こうしたコミュニティの規模と活動量は、本プラットフォームが多くの開発者・事業者に採用されていることを示しています。

モジュール化されたアーキテクチャにより、機能追加や外部システム連携を容易に行える一方、パフォーマンスやセキュリティにも配慮された設計となっており、LaravelベースのECフレームワークの中でも高い人気を持つプロジェクトの一つです。

本脆弱性が悪用された場合、以下のような深刻な影響が発生する可能性があります。
●管理者アカウントの完全な乗っ取り
●管理画面（バックエンド）の不正操作・支配
●悪意のある JavaScript の実行
●管理者セッションのハイジャック
●継続的な不正コードの埋め込みによる被害拡大
特に 管理者権限を持つユーザーが被害対象となるため、影響範囲は重大です。

■脆弱性種別（Weakness Enumeration）
CWE-79：Webページ生成時の入力値の不適切な無害化（クロスサイトスクリプティング）

■ 対策
以下の対応が推奨されます。
●Bagisto を 2.3.10 以上へアップデート
●CMS 編集機能を利用可能な管理者アカウントの最小化
●管理画面アクセスの IP 制限・多要素認証の導入
●WAF による不正リクエスト検知・遮断
●管理画面操作ログの監視強化

■ 参考情報
GitHub Advisory
https://github.com/bagisto/bagisto/security/advisories/GHSA-2mwc-h2mg-v6p8