株式会社CyberCrew(以下、CyberCrew)は、LaravelベースのオープンソースECプラットフォーム「Bagisto」において、保存型クロスサイトスクリプティング(Stored XSS)の脆弱性(CVE-2026-21451)を確認し、関係各所と連携のうえ情報公開を行いました。
本脆弱性は、Bagisto 2.3.10 未満のバージョンにおいて、CMSページ編集機能を通じて不正なスクリプトが保存・実行される可能性があるものです。特定の条件下では、管理者権限を持つユーザーのセッションが影響を受けるおそれがあり、攻撃者による任意のJavaScript実行や情報窃取などにつながる可能性があると報告されています。
CyberCrewでは、当該挙動を技術的に検証したうえで、影響範囲やリスクを評価し、CVSS v4.0 に基づくスコアリングおよび詳細な技術解説を公開しています。本脆弱性は、Bagisto公式により修正済みであり、該当バージョンをご利用の場合は、速やかなアップデートおよび適切なセキュリティ対策の実施が推奨されます。
CyberCrewは今後も、攻撃者視点に基づく調査・検証を通じて、オープンソースソフトウェアおよび企業システムの安全性向上に貢献してまいります。
本件に関する詳細な技術情報や影響評価については、以下のCVE解説ページをご参照ください。
あわせて読みたい
CVE-2026-21451
