OCS Inventory NG Server Stored XSS via User-Agent

OCS Inventory NG Server versão 2.12.3 e anteriores contêm uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado que permite a atacantes não autenticados executar JavaScript arbitrário ao submeter cabeçalhos HTTP User-Agent maliciosos para o endpoint /ocsinventory. Atacantes podem registrar agentes falsos ou criar requisições com valores User-Agent maliciosos que são armazenados sem sanitização e renderizados com codificação insuficiente no console web, levando à execução de JavaScript arbitrário nos navegadores de usuários autenticados que visualizam o painel de estatísticas.