प्लेटफ़ॉर्म
php
घटक
ocs-inventory-ng
में ठीक किया गया
2.12.4
OCS Inventory NG Server में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत JavaScript कोड निष्पादित करने की अनुमति देती है, जिससे सिस्टम की सुरक्षा खतरे में पड़ सकती है। यह भेद्यता OCS Inventory NG Server के संस्करण 0.0.0–78faf2ca8b897141ba4d337d75692ab8e405bd4e को प्रभावित करती है। संस्करण 2.12.4 में इस समस्या का समाधान किया गया है।
OCS Inventory NG Server में CVE-2026-22675 भेद्यता, 2.12.4 से पहले के संस्करणों को प्रभावित करती है, जो एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती है। यह अनधिकृत हमलावरों को वेब कंसोल तक पहुंचने वाले उपयोगकर्ताओं के ब्राउज़रों में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देता है। यह /ocsinventory एंडपॉइंट पर दुर्भावनापूर्ण User-Agent HTTP हेडर इंजेक्ट करके प्राप्त किया जाता है। इन हेडर का उचित सैनिटाइजेशन की कमी, और कंसोल में जानकारी प्रदर्शित करते समय अपर्याप्त एन्कोडिंग, दुर्भावनापूर्ण कोड के निष्पादन को आसान बनाती है। एक हमलावर नकली एजेंटों को पंजीकृत कर सकता है या हानिकारक जावास्क्रिप्ट स्क्रिप्ट युक्त User-Agent को शामिल करने के लिए अनुरोधों में हेरफेर करके इन्वेंट्री बुनियादी ढांचे की सुरक्षा से समझौता कर सकता है।
एक हमलावर इस भेद्यता का फायदा उठाकर दुर्भावनापूर्ण जावास्क्रिप्ट कोड युक्त विशेष रूप से तैयार किए गए 'User-Agent' हेडर के साथ HTTP अनुरोध भेज सकता है। यह कोड सर्वर पर संग्रहीत किया जाएगा और फिर OCS Inventory NG Server वेब कंसोल में प्रदर्शित किया जाएगा। जब कोई वैध उपयोगकर्ता कंसोल तक पहुंचता है, तो जावास्क्रिप्ट कोड उसके ब्राउज़र में निष्पादित होता है, जिससे हमलावर संवेदनशील जानकारी चुरा सकता है, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है या अन्य हानिकारक कार्रवाई कर सकता है। इन हेडर भेजने के लिए आवश्यक प्रमाणीकरण की कमी इस भेद्यता को विशेष रूप से चिंताजनक बनाती है, क्योंकि कोई भी इसका फायदा उठाने का प्रयास कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22675 को कम करने के लिए अनुशंसित समाधान OCS Inventory NG Server को संस्करण 2.12.4 या उच्चतर में अपग्रेड करना है। इस संस्करण में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को रोकने के लिए आवश्यक फिक्स शामिल हैं। इस बीच, एक अस्थायी उपाय के रूप में, /ocsinventory एंडपॉइंट तक पहुंच को केवल विश्वसनीय स्रोतों तक सीमित करें और संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करें। कंटेंट सिक्योरिटी पॉलिसी (CSP) जैसे HTTP सुरक्षा हेडर को लागू करने से XSS हमले के संभावित प्रभाव को कम करने में मदद मिल सकती है, हालांकि यह संपूर्ण समाधान नहीं है। डेटा अखंडता और गोपनीयता सुनिश्चित करने के लिए सुरक्षा पैच लागू करना सर्वोत्तम अभ्यास है।
Actualice OCS Inventory NG Server a la versión 2.12.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige la falta de sanitización de los encabezados HTTP User-Agent, evitando la ejecución de código JavaScript malicioso en el navegador de usuarios autenticados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को वैध वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है। इन स्क्रिप्टों को वेबसाइट पर जाने वाले उपयोगकर्ताओं के ब्राउज़रों में निष्पादित किया जाता है, जिससे हमलावरों को जानकारी चुराने, उपयोगकर्ताओं को पुनर्निर्देशित करने या अन्य हानिकारक कार्रवाई करने की अनुमति मिल सकती है।
यदि आप OCS Inventory NG Server के 2.12.4 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप कमजोर हैं। 'User-Agent' हेडर में असामान्य पैटर्न के लिए सर्वर लॉग की जांच करें।
/ocsinventory एंडपॉइंट तक पहुंच को प्रतिबंधित करें और CSP जैसे HTTP सुरक्षा हेडर को लागू करने पर विचार करें।
एक हमलावर उपयोगकर्ता क्रेडेंशियल, नेटवर्क इन्वेंट्री जानकारी और OCS Inventory NG Server सिस्टम में संग्रहीत अन्य संवेदनशील डेटा चुरा सकता है।
आप NIST के राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।