OCS Inventory NG Server ユーザーエージェント経由の格納型クロスサイトスクリプティング (Stored XSS)

OCS Inventory NG Server のバージョン 2.12.4 以前に存在する CVE-2026-22675 は、重大なセキュリティリスクをもたらします。認証されていない攻撃者が、Web コンソールにアクセスするユーザーのブラウザで任意の JavaScript コードを実行することを可能にします。これは、/ocsinventory エンドポイントに悪意のある User-Agent HTTP ヘッダーを注入することで実現されます。これらのヘッダーの適切なサニタイズの欠如、およびコンソールで情報を表示する際の不十分なエンコードにより、悪意のあるコードの実行が容易になります。攻撃者は偽の Agent を登録したり、リクエストを操作して有害な JavaScript スクリプトを含む User-Agent を含めたりすることで、インベントリインフラストラクチャのセキュリティを損なう可能性があります。

1. 予約済み2026-01-08
2. 公開日2026-04-06
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

CVE-2026-22675 を軽減するための推奨される解決策は、OCS Inventory NG Server をバージョン 2.12.4 以降にアップグレードすることです。このバージョンには、Cross-Site Scripting (XSS) の脆弱性を防止するために必要な修正が含まれています。一時的な措置として、/ocsinventory エンドポイントへのアクセスを信頼できるソースのみに制限し、サーバーログを不審なアクティビティがないか監視してください。Content Security Policy (CSP) などの HTTP セキュリティヘッダーを実装することで、XSS 攻撃の潜在的な影響を軽減できますが、完全な解決策ではありません。セキュリティパッチの適用は、データの整合性と機密性を確保するための最良の方法です。