OCS Inventory NG Server Stored XSS via User-Agent

OCS Inventory NG Server Version 2.12.3 und früher enthalten eine Stored Cross-Site Scripting (XSS) Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, beliebiges JavaScript auszuführen, indem sie bösartige User-Agent HTTP-Header an den /ocsinventory-Endpunkt senden. Angreifer können Rogue-Agenten registrieren oder Anfragen mit bösartigen User-Agent-Werten erstellen, die ohne Bereinigung gespeichert und mit unzureichender Kodierung in der Webkonsole gerendert werden, was zu einer beliebigen JavaScript-Ausführung in den Browsern authentifizierter Benutzer führt, die sich das Statistik-Dashboard ansehen.