CISA Alert ICSA-26-148-05: CP Plus NVR Reflected XSS via CVE-2026-6824

漏洞概述 漏洞名称: CP Plus 8 Ch. Network Video Recorder 发布日期: 2026年5月28日 警报代码: ICSA-26-148-05 相关主题: 工业控制系统漏洞、工业控制系统 CVSS评分: 8.4 漏洞类型: 输入净化不当（跨站脚本） 影响范围 受影响版本: - CP-UNR-108F1 Hardware V1.0 - CP-UNR-108F1 Web V3.2.7.128806 - CP-UNR-108F1 System V4.001.00AT009.0.R 关键基础设施部门: 商业设施、关键制造、紧急服务 部署国家/地区: 印度、尼泊尔、阿拉伯联合酋长国、冈比亚 公司总部位置: 印度 修复方案 推荐实践: - 最小化所有控制系统设备和/或系统的网络暴露，确保它们不能从互联网访问。 - 将控制系统网络和远程设备置于防火墙后面，并与业务网络隔离。 - 当需要远程访问时，使用更安全的远程方法，如虚拟专用网络（VPN），并认识到VPN可能存在漏洞，应更新到最新版本。 - 组织在部署防御措施之前进行适当的影响分析和风险评估。 - 实施推荐的网络安全策略，以主动防御ICS资产。 - 遵循内部程序报告可疑恶意活动，并向CISA报告以进行跟踪和相关性分析。 - 不要点击电子邮件中的链接或打开未请求的电子邮件附件。 - 参考避免电子邮件诈骗和社交工程攻击的信息。 漏洞详情 CVE编号: CVE-2026-6824 漏洞描述: 成功利用此漏洞允许攻击者的恶意脚本在浏览器中执行，任何访问受影响界面的已认证用户或管理员。这可能导致用户会话被破坏、未经授权的操作、敏感数据的暴露或操纵，以及整体系统完整性的降级。 致谢 报告者: Jithin Nambiar J 向CISA报告了此漏洞。 修订历史 初始发布日期: 2026年5月28日 修订版本: 1 摘要: 初始发布 标签 部门: 商业设施部门、关键制造部门、紧急服务部门 主题: 工业控制系统漏洞、工业控制系统 相关链接 相关建议: - Jinan USR IOT Technology Limited (PUSR) USR-W610 RS232/485 to Wi-Fi/Ethernet Converter - ABB EIBPORT - XCharge C6 - MacGregor Voyage Data Recorder (VDR) G4e 其他信息 法律通知和使用条款: 本产品受此通知和隐私及使用政策的约束。 反馈: 我们最近更新了匿名产品调查，欢迎提供反馈。

目標達成すべての支援者に感謝 — 100%達成しました！

CISA Alert ICSA-26-148-05: CP Plus NVR Reflected XSS via CVE-2026-6824

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CISA Alert ICSA-26-148-05: CP Plus NVR Reflected XSS via CVE-2026-6824

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！