## Descubren vulnerabilidad crítica de XSS en grabadoras de video en red CP Plus **CISA** ha emitido un aviso sobre una vulnerabilidad crítica que afecta a las grabadoras de video en red **CP Plus** de 8 canales. La vulnerabilidad, identificada como **CVE-2026-6824**, es una falla de Cross-Site Scripting (XSS) almacenada que podría permitir a los atacantes comprometer sesiones de usuario y datos sensibles. [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-05.json) ### Impacto La explotación exitosa de esta vulnerabilidad permite que el script malicioso de un atacante se ejecute en el navegador de cualquier usuario o administrador autenticado que acceda a la interfaz afectada. Esto podría llevar a: * Compromiso de sesiones de usuario * Ejecución de acciones no autorizadas con los privilegios de la víctima * Exposición o manipulación de datos sensibles * Degradación de la integridad general del sistema ### Productos Afectados Las siguientes versiones de la grabadora de video en red **CP Plus** de 8 canales se ven afectadas: * CP-UNR-108F1 Hardware V1.0 * CP-UNR-108F1 Web V3.2.7.128806 * CP-UNR-108F1 System V4.001.00AT009.0.R ### Detalles de la Vulnerabilidad **CVE-2026-6824**: Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en ciertos dispositivos NVR de la serie 1xxx debido a una sanitización insuficiente de la entrada proporcionada por el usuario en módulos funcionales específicos. Los atacantes pueden inyectar scripts maliciosos, que luego se almacenan de forma persistente en el backend del dispositivo. Cuando los administradores o usuarios acceden a las páginas afectadas, los scripts almacenados se ejecutan en sus navegadores, lo que lleva a un posible secuestro de sesión, acciones no autorizadas o robo de datos. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2026-6824) #### Productos Afectados **Fabricante:** CP Plus **Versión del Producto:** CP Plus CP-UNR-108F1 Hardware: V1.0, CP Plus CP-UNR-108F1 Web: V3.2.7.128806, CP Plus CP-UNR-108F1 System: V4.001.00AT009.0.R **Estado del Producto:** known_affected **CWE Relevante:** [CWE-79 Neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) ### Antecedentes * **Sectores de Infraestructura Crítica:** Instalaciones Comerciales, Manufactura Crítica, Servicios de Emergencia * **Países/Áreas de Implementación:** India, Nepal, Emiratos Árabes Unidos, Gambia * **Ubicación de la Sede de la Empresa:** India ### Mitigación **CISA** recomienda a los usuarios tomar las siguientes medidas defensivas para minimizar el riesgo de explotación: * Minimizar la exposición de la red para todos los dispositivos y/o sistemas de control, asegurándose de que no sean accesibles desde Internet. * Ubicar las redes de sistemas de control y los dispositivos remotos detrás de firewalls y aislarlos de las redes empresariales. * Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (**VPN**), reconociendo que las **VPN** pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconocer que una **VPN** es tan segura como los dispositivos conectados. * Realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas. **CISA** también recuerda a los usuarios que estén atentos contra los ataques de ingeniería social: * No haga clic en enlaces web ni abra archivos adjuntos en mensajes de correo electrónico no solicitados. ### Agradecimientos * Jithin Nambiar J informó de esta vulnerabilidad a **CISA**