OCS Inventory NG Server User-Agent के माध्यम से Stored XSS
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
ocs-inventory-ng
ठीक किया गया
2.12.4
OCS Inventory NG Server संस्करण 2.12.3 और उससे पहले में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग भेद्यता है जो अनाधिकृत हमलावरों को /ocsinventory एंडपॉइंट पर दुर्भावनापूर्ण User-Agent HTTP हेडर जमा करके मनमाना जावास्क्रिप्ट निष्पादित करने की अनुमति देती है। हमलावर दुर्भावनापूर्ण User-Agent मानों के साथ दुष्ट एजेंटों को पंजीकृत कर सकते हैं या ऐसे अनुरोध तैयार कर सकते हैं जो बिना सैनिटाइजेशन के संग्रहीत किए जाते हैं और वेब कंसोल में अपर्याप्त एन्कोडिंग के साथ प्रस्तुत किए जाते हैं, जिससे प्रमाणित उपयोगकर्ताओं के ब्राउज़र में आँकड़े डैशबोर्ड देखने पर मनमाना जावास्क्रिप्ट निष्पादन हो सकता है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें