OCS Inventory NG Server Stored XSS via User-Agent

OCS Inventory NG Server versie 2.12.3 en eerder bevat een stored cross-site scripting kwetsbaarheid die ongeauthenticeerde aanvallers in staat stelt willekeurige JavaScript uit te voeren door kwaadaardige User-Agent HTTP headers te verzenden naar het /ocsinventory endpoint. Aanvallers kunnen rogue agents registreren of verzoeken maken met kwaadaardige User-Agent waarden die worden opgeslagen zonder sanitatie en worden weergegeven met onvoldoende encoding in de web console, wat leidt tot willekeurige JavaScript uitvoering in de browsers van geauthenticeerde gebruikers die het statistieken dashboard bekijken.