## Vulnérabilité XSS critique découverte dans les enregistreurs vidéo réseau CP Plus La **CISA** a publié un avis concernant une vulnérabilité critique affectant les enregistreurs vidéo réseau **CP Plus** 8 Ch. La vulnérabilité, identifiée comme **CVE-2026-6824**, est une faille de Cross-Site Scripting (XSS) stockée qui pourrait permettre aux attaquants de compromettre les sessions utilisateur et les données sensibles. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-05.json) ### Impact L'exploitation réussie de cette vulnérabilité permet à un script malveillant d'un attaquant de s'exécuter dans le navigateur de tout utilisateur authentifié ou administrateur accédant à l'interface affectée. Cela pourrait entraîner : * Compromission des sessions utilisateur * Exécution d'actions non autorisées avec les privilèges de la victime * Exposition ou manipulation de données sensibles * Dégradation de l'intégrité globale du système ### Produits Affectés Les versions suivantes de l'enregistreur vidéo réseau **CP Plus** 8 Ch. sont affectées : * CP-UNR-108F1 Hardware V1.0 * CP-UNR-108F1 Web V3.2.7.128806 * CP-UNR-108F1 System V4.001.00AT009.0.R ### Détails de la Vulnérabilité **CVE-2026-6824** : Une vulnérabilité de Cross-Site Scripting (XSS) stockée existe dans certains appareils NVR de la série 1xxx en raison d'une sanitisation insuffisante des entrées fournies par l'utilisateur dans des modules fonctionnels spécifiques. Les attaquants peuvent injecter des scripts malveillants, qui sont ensuite stockés de manière persistante sur le backend de l'appareil. Lorsque les administrateurs ou les utilisateurs accèdent aux pages affectées, les scripts stockés sont exécutés dans leurs navigateurs, entraînant un potentiel détournement de session, des actions non autorisées ou un vol de données. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-6824) #### Produits Affectés **Vendeur :** CP Plus **Version du Produit :** CP Plus CP-UNR-108F1 Hardware : V1.0, CP Plus CP-UNR-108F1 Web : V3.2.7.128806, CP Plus CP-UNR-108F1 System : V4.001.00AT009.0.R **Statut du Produit :** known_affected **CWE Pertinent :** [CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) ### Contexte * **Secteurs d'infrastructure critiques :** Installations commerciales, Fabrication critique, Services d'urgence * **Pays/Régions de déploiement :** Inde, Népal, Émirats arabes unis, Gambie * **Lieu du siège social de l'entreprise :** Inde ### Atténuation La **CISA** recommande aux utilisateurs de prendre les mesures défensives suivantes pour minimiser le risque d'exploitation : * Minimiser l'exposition réseau de tous les appareils et/ou systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Localiser les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feux et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les Réseaux Privés Virtuels (**VPN**), en reconnaissant que les **VPN** peuvent avoir des vulnérabilités et doivent être mis à jour vers la version la plus récente disponible. Reconnaître également que le **VPN** n'est aussi sûr que les appareils connectés. * Effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures défensives. La **CISA** rappelle également aux utilisateurs d'être vigilants contre les attaques d'ingénierie sociale : * Ne cliquez pas sur les liens web et n'ouvrez pas les pièces jointes dans les messages électroniques non sollicités. ### Remerciements * Jithin Nambiar J a signalé cette vulnérabilité à la **CISA**