Plataforma
php
Componente
ocs-inventory-ng
Corrigido em
2.12.4
A vulnerabilidade CVE-2026-22675 é uma falha de Cross-Site Scripting (XSS) armazenada presente no OCS Inventory NG Server. Esta vulnerabilidade permite que atacantes não autenticados executem código JavaScript arbitrário ao submeter headers HTTP User-Agent maliciosos ao endpoint /ocsinventory. A exploração bem-sucedida pode levar à execução de scripts maliciosos nos navegadores de usuários autenticados que visualizam o painel de estatísticas, afetando versões do OCS Inventory NG Server anteriores à 2.12.4. Uma correção foi lançada na versão 2.12.4.
A vulnerabilidade CVE-2026-22675 no OCS Inventory NG Server, afetando versões anteriores à 2.12.4, representa um risco de segurança significativo. Permite que atacantes não autenticados executem código JavaScript arbitrário nos navegadores dos usuários que acessam o console web. Isso é alcançado injetando cabeçalhos HTTP 'User-Agent' maliciosos no endpoint /ocsinventory. A falta de sanitização adequada desses cabeçalhos, seguida de uma codificação insuficiente ao renderizar as informações no console, facilita a execução de código malicioso. Um atacante pode registrar agentes falsos ou manipular as solicitações para incluir User-Agents contendo scripts JavaScript prejudiciais, comprometendo a segurança da infraestrutura de inventário.
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP com cabeçalhos 'User-Agent' especialmente elaborados para conter código JavaScript malicioso. Este código seria armazenado no servidor e, em seguida, exibido no console web do OCS Inventory NG Server. Quando um usuário legítimo acessa o console, o código JavaScript é executado no navegador, permitindo que o atacante roube informações confidenciais, redirecione o usuário para sites maliciosos ou execute outras ações prejudiciais. A falta de autenticação necessária para enviar esses cabeçalhos torna a vulnerabilidade particularmente preocupante, pois qualquer pessoa pode tentar explorá-la.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A solução recomendada para mitigar CVE-2026-22675 é atualizar o OCS Inventory NG Server para a versão 2.12.4 ou superior. Esta versão inclui as correções necessárias para prevenir a vulnerabilidade de Cross-Site Scripting (XSS). Enquanto isso, como medida temporária, restrinja o acesso ao endpoint /ocsinventory apenas a fontes confiáveis e monitore os logs do servidor em busca de atividades suspeitas. A implementação de cabeçalhos de segurança HTTP, como a Política de Segurança de Conteúdo (CSP), pode ajudar a reduzir o impacto potencial de um ataque XSS, embora não seja uma solução completa. A aplicação de patches de segurança é a melhor prática para garantir a integridade e a confidencialidade dos dados.
Actualice OCS Inventory NG Server a la versión 2.12.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige la falta de sanitización de los encabezados HTTP User-Agent, evitando la ejecución de código JavaScript malicioso en el navegador de usuarios autenticados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites web legítimos. Esses scripts são executados nos navegadores dos usuários que visitam o site, o que pode permitir que os atacantes roubem informações, redirecionem usuários ou realizem outras ações prejudiciais.
Se você estiver usando uma versão do OCS Inventory NG Server anterior à 2.12.4, você é vulnerável. Revise os logs do servidor em busca de padrões incomuns nos cabeçalhos 'User-Agent'.
Restrinja o acesso ao endpoint /ocsinventory e considere implementar cabeçalhos de segurança HTTP como CSP.
Um atacante poderia roubar credenciais de usuário, informações de inventário de rede e outros dados confidenciais armazenados no sistema OCS Inventory NG Server.
Você pode encontrar mais informações sobre CVE-2026-22675 em bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD) da NIST.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.