# Vulnérabilité XSS affectant les contrôleurs de bâtiment Kieback & Peter La **CISA** a publié un avis concernant une vulnérabilité de type cross-site scripting (XSS) affectant diverses versions des contrôleurs de bâtiment DDC de **Kieback & Peter**. La vulnérabilité, référencée sous le nom **CVE-2026-4293**, pourrait permettre à un attaquant d'exécuter du code JavaScript arbitraire dans le navigateur d'une victime, menant potentiellement à un contrôle total du navigateur. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-139-05.json) ## Produits Affectés Les versions suivantes des contrôleurs de bâtiment DDC de **Kieback & Peter** sont affectées : * DDC4002 <=1.12.14 (**CVE-2026-4293**) * DDC4100 <=1.12.14 (**CVE-2026-4293**) * DDC4200 <=1.12.14 (**CVE-2026-4293**) * DDC4200-L <=1.12.14 (**CVE-2026-4293**) * DDC4400 <=1.12.14 (**CVE-2026-4293**) * DDC4002e <=1.23.4 (**CVE-2026-4293**) * DDC4200e <=1.23.4 (**CVE-2026-4293**) * DDC4400e <=1.23.4 (**CVE-2026-4293**) * DDC4020e <=1.23.4 (**CVE-2026-4293**) * DDC4040e <=1.23.4 (**CVE-2026-4293**) * DDC520 <=1.24.1 (**CVE-2026-4293**) ## Détails de la Vulnérabilité ### CVE-2026-4293 : Cross-Site Scripting Cette vulnérabilité découle d'une mauvaise gestion de l'entrée lors de la génération de pages web, entraînant une condition de cross-site scripting (XSS). Un attaquant peut injecter des scripts malveillants dans les pages web consultées par d'autres utilisateurs. Cela permet à l'attaquant de contrôler le navigateur. [Voir les détails du CVE](https://www.cve.org/CVERecord?id=CVE-2026-4293) **CWE :** [CWE-79 Mauvaise neutralisation de l'entrée lors de la génération de pages web ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) ## Impact L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de : * Exécuter du code JavaScript arbitraire dans le navigateur de la victime. * Voler des informations sensibles, telles que des cookies et des jetons de session. * Défigurer des sites web. * Rediriger les utilisateurs vers des sites web malveillants. * Potentiellement obtenir un contrôle complet sur le navigateur de l'utilisateur. ## Secteurs et Régions Affectés Cette vulnérabilité représente un risque pour les organisations dans divers secteurs d'infrastructures critiques, notamment : * Installations commerciales * Communications * Services financiers * Alimentation et agriculture * Services et installations gouvernementaux * Santé et santé publique * Technologies de l'information Les systèmes affectés sont déployés en : * Autriche * Chine * France * Allemagne * Émirats arabes unis ## Atténuation La **CISA** recommande les mesures suivantes pour atténuer le risque d'exploitation : * Minimiser l'exposition réseau de tous les appareils et systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Localiser les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feu et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les réseaux privés virtuels (VPN), en reconnaissant que les VPN peuvent présenter des vulnérabilités et doivent être mis à jour vers la version la plus récente disponible. Reconnaître également que le VPN n'est aussi sûr que les appareils connectés. * Mettre en œuvre des stratégies de cybersécurité recommandées pour la défense proactive des actifs ICS. * Suivre les procédures internes établies et signaler toute activité suspecte à la **CISA**. * Ne pas cliquer sur les liens web ni ouvrir les pièces jointes dans des messages électroniques non sollicités. ## Remerciements **Maximilian Hildebrand** de **G DATA Advanced Analytics** a signalé cette vulnérabilité à la **CISA**.