## CP Plusネットワークビデオレコーダーに重大なXSS脆弱性が発見される **CISA**は、**CP Plus** 8 Ch.ネットワークビデオレコーダーに影響を与える重大な脆弱性に関する勧告を発行しました。この脆弱性は**CVE-2026-6824**として特定されており、保存型クロスサイトスクリプティング（XSS）の欠陥であり、攻撃者がユーザーセッションや機密データを侵害する可能性があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-05.json) ### 影響 この脆弱性が悪用された場合、攻撃者の悪意のあるスクリプトは、影響を受けるインターフェースにアクセスした認証済みユーザーまたは管理者のブラウザで実行される可能性があります。これにより、以下のような事態が発生する可能性があります。 * ユーザーセッションの侵害 * 被害者の権限での不正なアクションの実行 * 機密データの漏洩または改ざん * 全体的なシステム整合性の低下 ### 影響を受ける製品 以下のバージョンの**CP Plus** 8 Ch.ネットワークビデオレコーダーが影響を受けます。 * CP-UNR-108F1 Hardware V1.0 * CP-UNR-108F1 Web V3.2.7.128806 * CP-UNR-108F1 System V4.001.00AT009.0.R ### 脆弱性の詳細 **CVE-2026-6824**: 特定の1xxxシリーズNVRデバイスにおいて、特定の機能モジュールにおけるユーザー提供入力の不十分なサニタイズにより、保存型クロスサイトスクリプティング（XSS）脆弱性が存在します。攻撃者は悪意のあるスクリプトを注入でき、それがデバイスバックエンドに永続的に保存されます。管理者またはユーザーが影響を受けるページにアクセスすると、保存されたスクリプトがブラウザで実行され、セッションハイジャック、不正なアクション、またはデータ窃盗につながる可能性があります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-6824) #### 影響を受ける製品 **ベンダー:** CP Plus **製品バージョン:** CP Plus CP-UNR-108F1 Hardware: V1.0, CP Plus CP-UNR-108F1 Web: V3.2.7.128806, CP Plus CP-UNR-108F1 System: V4.001.00AT009.0.R **製品ステータス:** known_affected **関連CWE:** [CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) ### 背景 * **重要インフラストラクチャセクター:** 商用施設、重要製造業、緊急サービス * **展開国/地域:** インド、ネパール、アラブ首長国連邦、ガンビア * **本社所在地:** インド ### 緩和策 **CISA**は、ユーザーに対し、悪用のリスクを最小限に抑えるために以下の防御策を講じることを推奨しています。 * すべての制御システムデバイスおよび/またはシステムのネットワーク公開を最小限に抑え、インターネットからアクセスできないようにします。 * 制御システムネットワークとリモートデバイスをファイアウォールで保護し、ビジネスネットワークから分離します。 * リモートアクセスが必要な場合は、Virtual Private Network（**VPN**）などのより安全な方法を使用します。ただし、**VPN**自体にも脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新する必要があります。また、**VPN**は接続されているデバイスと同等のセキュリティしか提供しないことを認識してください。 * 防御策を展開する前に、適切な影響分析とリスク評価を実施します。 **CISA**はまた、ソーシャルエンジニアリング攻撃に対して警戒を怠らないようユーザーに注意を促しています。 * 迷惑メールメッセージ内のウェブリンクをクリックしたり、添付ファイルを開いたりしないでください。 ### 謝辞 * Jithin Nambiar Jがこの脆弱性を**CISA**に報告しました。