Charleneauger

**Name of the Vulnerable Software and Affected Versions** OCS Inventory NG Server versões 2.12.3 e anteriores **Description** OCS Inventory NG Server versões 2.12.3 e anteriores contêm uma vulnerabilidade de scripting entre sites armazenado. Atacantes não autenticados podem executar JavaScript arbitrário enviando cabeçalhos HTTP User-Agent maliciosos para o endpoint da API `/ocsinventory`. Os invasores podem registrar agentes fraudulentos ou criar solicitações com valores User-Agent maliciosos. Esses valores são armazenados sem a devida higienização e renderizados com codificação insuficiente no console da web, levando à execução de JavaScript arbitrário nos navegadores de usuários autenticados que visualizam o painel de estatísticas. **Recommendations** Atualize o OCS Inventory NG Server para uma versão posterior à 2.12.3.