Plateforme
php
Composant
ocs-inventory-ng
Corrigé dans
2.12.4
La vulnérabilité CVE-2026-22675 est une faille de cross-site scripting (XSS) de type stockée présente dans OCS Inventory NG Server. Elle permet à des attaquants non authentifiés d'exécuter du code JavaScript arbitraire en soumettant des headers HTTP User-Agent malveillants à l'endpoint /ocsinventory. Cette vulnérabilité affecte les versions antérieures à 2.12.4 et a été corrigée dans la version 2.12.4.
La vulnérabilité CVE-2026-22675 dans OCS Inventory NG Server, affectant les versions antérieures à la 2.12.4, représente un risque de sécurité important. Elle permet à des attaquants non authentifiés d'exécuter du code JavaScript arbitraire dans les navigateurs des utilisateurs accédant à la console web. Cela est réalisé en injectant des en-têtes HTTP 'User-Agent' malveillants vers le point de terminaison /ocsinventory. Le manque de sanitisation appropriée de ces en-têtes, suivi d'un encodage insuffisant lors de l'affichage des informations dans la console, facilite l'exécution de code malveillant. Un attaquant pourrait enregistrer des agents frauduleux ou manipuler les requêtes pour inclure des User-Agents contenant des scripts JavaScript nuisibles, compromettant la sécurité de l'infrastructure d'inventaire.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP avec des en-têtes 'User-Agent' spécialement conçus pour contenir du code JavaScript malveillant. Ce code serait stocké sur le serveur et ensuite affiché dans la console web du OCS Inventory NG Server. Lorsqu'un utilisateur légitime accède à la console, le code JavaScript s'exécute dans son navigateur, permettant à l'attaquant de voler des informations sensibles, de rediriger l'utilisateur vers des sites web malveillants ou d'effectuer d'autres actions nuisibles. L'absence d'authentification requise pour envoyer ces en-têtes rend la vulnérabilité particulièrement préoccupante, car toute personne peut tenter de l'exploiter.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour atténuer CVE-2026-22675 est de mettre à niveau OCS Inventory NG Server vers la version 2.12.4 ou supérieure. Cette version inclut les correctifs nécessaires pour prévenir la vulnérabilité Cross-Site Scripting (XSS). En attendant, comme mesure temporaire, restreignez l'accès au point de terminaison /ocsinventory aux sources fiables uniquement et surveillez les journaux du serveur à la recherche d'activités suspectes. La mise en œuvre d'en-têtes de sécurité HTTP, tels que Content Security Policy (CSP), peut aider à réduire l'impact potentiel d'une attaque XSS, bien qu'elle ne soit pas une solution complète. L'application de correctifs de sécurité reste la meilleure pratique pour assurer l'intégrité et la confidentialité des données.
Actualice OCS Inventory NG Server a la versión 2.12.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige la falta de sanitización de los encabezados HTTP User-Agent, evitando la ejecución de código JavaScript malicioso en el navegador de usuarios autenticados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web légitimes. Ces scripts s'exécutent dans les navigateurs des utilisateurs visitant le site, ce qui peut permettre aux attaquants de voler des informations, de rediriger des utilisateurs ou d'effectuer d'autres actions nuisibles.
Si vous utilisez une version d'OCS Inventory NG Server antérieure à la 2.12.4, vous êtes vulnérable. Examinez les journaux du serveur à la recherche de schémas inhabituels dans les en-têtes 'User-Agent'.
Restreignez l'accès au point de terminaison /ocsinventory et envisagez de mettre en œuvre des en-têtes de sécurité HTTP tels que CSP.
Un attaquant pourrait voler des informations d'identification d'utilisateur, des informations d'inventaire réseau et d'autres données sensibles stockées dans le système OCS Inventory NG Server.
Vous pouvez trouver plus d'informations sur CVE-2026-22675 dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD) de la NIST.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.