Plattform
php
Komponente
ocs-inventory-ng
Behoben in
2.12.4
CVE-2026-22675 describes a stored cross-site scripting (XSS) vulnerability present in OCS Inventory NG Server versions prior to 2.12.4. This flaw enables unauthenticated attackers to inject and execute arbitrary JavaScript code by manipulating User-Agent HTTP headers sent to the /ocsinventory endpoint. Successful exploitation could lead to the compromise of authenticated users' sessions and the execution of malicious scripts within their browsers, particularly when viewing the statistics dashboard. Version 2.12.4 addresses this vulnerability.
Die CVE-2026-22675-Schwachstelle in OCS Inventory NG Server, die Versionen vor 2.12.4 betrifft, stellt ein erhebliches Sicherheitsrisiko dar. Sie ermöglicht nicht authentifizierten Angreifern, willkürlichen JavaScript-Code in den Browsern von Benutzern auszuführen, die auf die Webkonsole zugreifen. Dies wird durch das Injizieren von bösartigen User-Agent-HTTP-Headern in den /ocsinventory-Endpunkt erreicht. Das Fehlen einer ordnungsgemäßen Bereinigung dieser Header, gefolgt von einer unzureichenden Kodierung beim Anzeigen der Informationen in der Konsole, erleichtert die Ausführung von bösartigem Code. Ein Angreifer könnte gefälschte Agenten registrieren oder Anfragen manipulieren, um User-Agents mit schädlichen JavaScript-Skripten zu enthalten, wodurch die Sicherheit der Inventarinfrastruktur gefährdet wird.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er HTTP-Anfragen mit speziell gestalteten 'User-Agent'-Headern sendet, die bösartigen JavaScript-Code enthalten. Dieser Code würde auf dem Server gespeichert und dann in der OCS Inventory NG Server-Webkonsole angezeigt. Wenn ein legitimer Benutzer auf die Konsole zugreift, wird der JavaScript-Code in seinem Browser ausgeführt, wodurch der Angreifer sensible Informationen stehlen, den Benutzer auf bösartige Websites umleiten oder andere schädliche Aktionen durchführen kann. Das Fehlen einer erforderlichen Authentifizierung zum Senden dieser Header macht die Schwachstelle besonders besorgniserregend, da jeder versuchen kann, sie auszunutzen.
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung zur Minderung von CVE-2026-22675 ist die Aktualisierung von OCS Inventory NG Server auf Version 2.12.4 oder höher. Diese Version enthält die notwendigen Fixes, um die Cross-Site-Scripting-(XSS)-Schwachstelle zu verhindern. Als vorübergehende Maßnahme sollte der Zugriff auf den /ocsinventory-Endpunkt vorerst auf vertrauenswürdige Quellen beschränkt und die Serverprotokolle auf verdächtige Aktivitäten überwacht werden. Die Implementierung von HTTP-Sicherheitsheadern, wie Content Security Policy (CSP), kann dazu beitragen, die potenziellen Auswirkungen eines XSS-Angriffs zu verringern, obwohl dies keine vollständige Lösung darstellt. Die Anwendung von Sicherheitspatches ist die beste Praxis, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.
Actualice OCS Inventory NG Server a la versión 2.12.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige la falta de sanitización de los encabezados HTTP User-Agent, evitando la ejecución de código JavaScript malicioso en el navegador de usuarios autenticados.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in legitime Websites einzuschleusen. Diese Skripte werden in den Browsern der Benutzer ausgeführt, die die Website besuchen, was es Angreifern ermöglichen kann, Informationen zu stehlen, Benutzer umzuleiten oder andere schädliche Aktionen durchzuführen.
Wenn Sie eine Version von OCS Inventory NG Server vor 2.12.4 verwenden, sind Sie anfällig. Überprüfen Sie die Serverprotokolle auf ungewöhnliche Muster in den 'User-Agent'-Headern.
Beschränken Sie den Zugriff auf den /ocsinventory-Endpunkt und erwägen Sie die Implementierung von HTTP-Sicherheitsheadern wie CSP.
Ein Angreifer könnte Benutzeranmeldeinformationen, Netzwerk-Inventarinformationen und andere sensible Daten stehlen, die im OCS Inventory NG Server-System gespeichert sind.
Sie finden weitere Informationen zu CVE-2026-22675 in Schwachstellendatenbanken wie der National Vulnerability Database (NVD) der NIST.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.