OCS Inventory NG Server Stored XSS via User-Agent CVE编号: CVE-2026-22675 严重程度: MEDIUM (中等) 发布日期: 4/6/2026 漏洞概述 OCS Inventory NG Server 2.12.3 及更早版本存在一个存储型跨站脚本(Stored XSS)漏洞。攻击者可以通过向 端点提交恶意的 User-Agent HTTP 头来执行任意 JavaScript。攻击者可以注册流氓代理(rogue agents)或构造带有恶意 User-Agent 值的请求。这些值在存储时未经过清理(sanitization),并在 Web 控制台中以不充分的编码渲染,导致查看统计仪表板的认证用户在浏览器中执行任意 JavaScript。 影响范围 受影响产品: OCS Inventory NG Server 受影响版本: <= 2.12.3 (具体受影响的提交版本为 ) 修复方案 升级到修复了该漏洞的版本(参考 GitHub Pull Request #483 或 Commit 之后的版本)。 参考链接 (References) https://github.com/OCSInventory-NG/OCSInventory/pull/483 https://github.com/OCSInventory-NG/OCSInventory/Server/commit/78fa2ca8b897141ba4d337d75692ab8e405bd4e POC/利用代码 截图中未包含具体的 POC 代码块。