Platform
php
Component
ocs-inventory-ng
Opgelost in
2.12.4
CVE-2026-22675 is een stored cross-site scripting (XSS) kwetsuur in OCS Inventory NG Server. Een ongeauthenticeerde aanvaller kan kwaadaardige JavaScript-code uitvoeren door malicieuse User-Agent HTTP headers te versturen naar het /ocsinventory endpoint. Dit kan leiden tot rogue agent registratie of het manipuleren van de statistieken dashboard, waardoor JavaScript in de browsers van geauthenticeerde gebruikers kan worden uitgevoerd. De kwetsuur treft versies van OCS Inventory NG Server tussen 0.0.0 en 78faf2ca8b897141ba4d337d75692ab8e405bd4e, maar is verholpen in versie 2.12.4.
CVE-2026-22675 in OCS Inventory NG Server, die versies vóór 2.12.4 treft, vormt een aanzienlijk beveiligingsrisico. Het stelt niet-geauthenticeerde aanvallers in staat om willekeurige JavaScript-code uit te voeren in de browsers van gebruikers die toegang hebben tot de webconsole. Dit wordt bereikt door kwaadaardige User-Agent HTTP-headers naar het /ocsinventory-eindpunt te injecteren. Het ontbreken van een juiste sanering van deze headers, gevolgd door onvoldoende codering bij het weergeven van de informatie in de console, vergemakkelijkt de uitvoering van kwaadaardige code. Een aanvaller kan valse agenten registreren of verzoeken manipuleren om User-Agents te bevatten met schadelijke JavaScript-scripts, waardoor de beveiliging van de inventarisinfrastructuur in gevaar komt.
Een aanvaller kan deze kwetsbaarheid exploiteren door HTTP-verzoeken te verzenden met speciaal ontworpen 'User-Agent'-headers die kwaadaardige JavaScript-code bevatten. Deze code wordt op de server opgeslagen en vervolgens weergegeven in de OCS Inventory NG Server-webconsole. Wanneer een legitieme gebruiker toegang heeft tot de console, wordt de JavaScript-code in zijn browser uitgevoerd, waardoor de aanvaller gevoelige informatie kan stelen, de gebruiker naar kwaadaardige websites kan omleiden of andere schadelijke acties kan uitvoeren. Het ontbreken van de vereiste authenticatie om deze headers te verzenden, maakt de kwetsbaarheid bijzonder zorgwekkend, aangezien iedereen kan proberen deze te exploiteren.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing om CVE-2026-22675 te mitigeren is het upgraden van OCS Inventory NG Server naar versie 2.12.4 of hoger. Deze versie bevat de nodige fixes om de Cross-Site Scripting (XSS)-kwetsbaarheid te voorkomen. In de tussentijd, als tijdelijke maatregel, beperk de toegang tot het /ocsinventory-eindpunt tot vertrouwde bronnen en bewaak serverlogs op verdachte activiteiten. Het implementeren van HTTP-beveiligingsheaders, zoals Content Security Policy (CSP), kan helpen om de potentiële impact van een XSS-aanval te verminderen, hoewel het geen volledige oplossing is. Het toepassen van beveiligingspatches blijft de beste praktijk om de integriteit en vertrouwelijkheid van gegevens te waarborgen.
Actualice OCS Inventory NG Server a la versión 2.12.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige la falta de sanitización de los encabezados HTTP User-Agent, evitando la ejecución de código JavaScript malicioso en el navegador de usuarios autenticados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in legitieme websites kunnen injecteren. Deze scripts worden uitgevoerd in de browsers van gebruikers die de website bezoeken, waardoor aanvallers mogelijk informatie kunnen stelen, gebruikers kunnen omleiden of andere schadelijke acties kunnen uitvoeren.
Als u een versie van OCS Inventory NG Server gebruikt vóór 2.12.4, is deze kwetsbaar. Controleer de serverlogs op ongebruikelijke patronen in de 'User-Agent'-headers.
Beperk de toegang tot het /ocsinventory-eindpunt en overweeg om HTTP-beveiligingsheaders zoals CSP te implementeren.
Een aanvaller zou gebruikersinloggegevens, netwerkinventarisinformatie en andere gevoelige gegevens kunnen stelen die in het OCS Inventory NG Server-systeem zijn opgeslagen.
U kunt meer informatie over CVE-2026-22675 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) van NIST.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.