CVE-2026-22675
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
OCS Inventory NG Server w wersji 2.12.3 i wcześniejszych zawiera podatność na trwałe ataki XSS, która pozwala nieuwierzytelnionym atakującym na wykonanie dowolnego kodu JavaScript poprzez przesłanie złośliwych nagłówków HTTP User-Agent do punktu końcowego /ocsinventory. Atakujący mogą rejestrować fałszywe agenty lub tworzyć żądania ze złośliwymi wartościami User-Agent, które są przechowywane bez sanityzacji i renderowane z niewystarczającym kodowaniem w konsoli internetowej, co prowadzi do wykonania dowolnego JavaScriptu w przeglądarkach uwierzytelnionych użytkowników przeglądających panel statystyk.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość kradzieży sesji, przejęcia kont administratorów oraz wycieku poufnych danych poprzez wykonanie złośliwego skryptu w kontekście przeglądarki uwierzytelnionego użytkownika.
Rekomendacja
Zaleca się natychmiastową aktualizację OCS Inventory NG Server do wersji 2.12.4 lub nowszej, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji należy ograniczyć dostęp do konsoli internetowej oraz wdrożyć filtrowanie nagłówków User-Agent na poziomie zapory aplikacyjnej (WAF).
Oryginalny opis (angielski, źródło NVD)
OCS Inventory NG Server version 2.12.3 and prior contain a stored cross-site scripting vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript by submitting malicious User-Agent HTTP headers to the /ocsinventory endpoint. Attackers can register rogue agents or craft requests with malicious User-Agent values that are stored without sanitization and rendered with insufficient encoding in the web console, leading to arbitrary JavaScript execution in the browsers of authenticated users viewing the statistics dashboard.

