## Kritische XSS-Schwachstelle in CP Plus Netzwerk-Videorekordern entdeckt **CISA** hat eine Warnung bezüglich einer kritischen Schwachstelle in **CP Plus** 8-Kanal-Netzwerk-Videorekordern herausgegeben. Die Schwachstelle, identifiziert als **CVE-2026-6824**, ist ein gespeicherter Cross-Site Scripting (XSS)-Fehler, der es Angreifern ermöglichen könnte, Benutzer-Sessions und sensible Daten zu kompromittieren. [CSAF anzeigen](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-05.json) ### Auswirkungen Eine erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht die Ausführung eines bösartigen Skripts des Angreifers im Browser jedes authentifizierten Benutzers oder Administrators, der auf die betroffene Schnittstelle zugreift. Dies könnte zu folgenden Problemen führen: * Kompromittierung von Benutzer-Sessions * Ausführung nicht autorisierter Aktionen mit den Berechtigungen des Opfers * Offenlegung oder Manipulation sensibler Daten * Beeinträchtigung der allgemeinen Systemintegrität ### Betroffene Produkte Die folgenden Versionen des **CP Plus** 8-Kanal-Netzwerk-Videorekorders sind betroffen: * CP-UNR-108F1 Hardware V1.0 * CP-UNR-108F1 Web V3.2.7.128806 * CP-UNR-108F1 System V4.001.00AT009.0.R ### Details zur Schwachstelle **CVE-2026-6824**: Eine gespeicherte Cross-Site Scripting (XSS)-Schwachstelle besteht in bestimmten NVR-Geräten der 1xxx-Serie aufgrund unzureichender Bereinigung von Benutzereingaben in spezifischen Funktionsmodulen. Angreifer können bösartige Skripte einschleusen, die dann persistent im Backend des Geräts gespeichert werden. Wenn Administratoren oder Benutzer betroffene Seiten aufrufen, werden die gespeicherten Skripte in ihren Browsern ausgeführt, was zu potenziellem Session Hijacking, nicht autorisierten Aktionen oder Datendiebstahl führen kann. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2026-6824) #### Betroffene Produkte **Hersteller:** CP Plus **Produktversion:** CP Plus CP-UNR-108F1 Hardware: V1.0, CP Plus CP-UNR-108F1 Web: V3.2.7.128806, CP Plus CP-UNR-108F1 System: V4.001.00AT009.0.R **Produktstatus:** known_affected **Relevante CWE:** [CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) ### Hintergrund * **Sektoren der kritischen Infrastruktur:** Gewerbliche Einrichtungen, Kritische Fertigung, Notfalldienste * **Bereitgestellte Länder/Gebiete:** Indien, Nepal, Vereinigte Arabische Emirate, Gambia * **Standort der Unternehmenszentrale:** Indien ### Abhilfemaßnahmen **CISA** empfiehlt Benutzern, folgende Abwehrmaßnahmen zu ergreifen, um das Risiko einer Ausnutzung zu minimieren: * Minimieren Sie die Netzwerkaussetzung aller Steuerungsgeräte und/oder -systeme und stellen Sie sicher, dass sie nicht aus dem Internet erreichbar sind. * Platzieren Sie Steuerungsnetzwerke und Fernzugangsgeräte hinter Firewalls und isolieren Sie sie von Geschäftsnetzwerken. * Wenn Fernzugriff erforderlich ist, verwenden Sie sicherere Methoden wie Virtual Private Networks (**VPNs**). Beachten Sie, dass **VPNs** Schwachstellen aufweisen können und auf die aktuellste verfügbare Version aktualisiert werden sollten. Beachten Sie auch, dass **VPNs** nur so sicher sind wie die verbundenen Geräte. * Führen Sie eine ordnungsgemäße Auswirkungsanalyse und Risikobewertung durch, bevor Sie Abwehrmaßnahmen implementieren. **CISA** erinnert Benutzer auch daran, bei Social-Engineering-Angriffen wachsam zu sein: * Klicken Sie nicht auf Weblinks und öffnen Sie keine Anhänge in unerbetenen E-Mail-Nachrichten. ### Danksagungen * Jithin Nambiar J hat diese Schwachstelle bei **CISA** gemeldet.