# Kieback & Peterビルディングコントローラーに影響するXSS脆弱性 **CISA**は、**Kieback & Peter** DDCビルディングコントローラーの複数のバージョンに影響するクロスサイトスクリプティング（XSS）脆弱性に関する勧告を発表しました。この脆弱性（**CVE-2026-4293**として追跡）は、攻撃者が被害者のブラウザで任意のJavaScriptを実行し、ブラウザ全体を制御する可能性につながる可能性があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-139-05.json) ## 対象製品 以下の**Kieback & Peter** DDCビルディングコントローラーのバージョンが影響を受けます。 * DDC4002 <=1.12.14 (**CVE-2026-4293**) * DDC4100 <=1.12.14 (**CVE-2026-4293**) * DDC4200 <=1.12.14 (**CVE-2026-4293**) * DDC4200-L <=1.12.14 (**CVE-2026-4293**) * DDC4400 <=1.12.14 (**CVE-2026-4293**) * DDC4002e <=1.23.4 (**CVE-2026-4293**) * DDC4200e <=1.23.4 (**CVE-2026-4293**) * DDC4400e <=1.23.4 (**CVE-2026-4293**) * DDC4020e <=1.23.4 (**CVE-2026-4293**) * DDC4040e <=1.23.4 (**CVE-2026-4293**) * DDC520 <=1.24.1 (**CVE-2026-4293**) ## 脆弱性の詳細 ### CVE-2026-4293: クロスサイトスクリプティング この脆弱性は、Webページ生成時の入力の不適切な無効化に起因し、クロスサイトスクリプティング（XSS）の状態を引き起こします。攻撃者は、他のユーザーが表示するWebページに悪意のあるスクリプトを注入できます。これにより、攻撃者はブラウザを制御できるようになります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-4293) **CWE:** [CWE-79 Webページ生成時の入力の不適切な無効化（「クロスサイトスクリプティング」）](https://cwe.mitre.org/data/definitions/79.html) ## 影響 この脆弱性が悪用された場合、攻撃者は以下のことが可能になります。 * 被害者のブラウザで任意のJavaScriptコードを実行する。 * Cookieやセッショントークンなどの機密情報を盗む。 * Webサイトを改ざんする。 * ユーザーを悪意のあるWebサイトにリダイレクトする。 * ユーザーのブラウザを完全に制御する可能性。 ## 対象分野と地域 この脆弱性は、以下のさまざまな重要インフラストラクチャ分野の組織にリスクをもたらします。 * 商業施設 * 通信 * 金融サービス * 食品・農業 * 政府サービス・施設 * ヘルスケア・公衆衛生 * 情報技術 影響を受けるシステムは、以下の国に展開されています。 * オーストリア * 中国 * フランス * ドイツ * アラブ首長国連邦 ## 緩和策 **CISA**は、悪用のリスクを軽減するために以下の対策を推奨しています。 * すべての制御システムデバイスおよびシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにする。 * 制御システムネットワークとリモートデバイスをファイアウォールで保護し、ビジネスネットワークから分離する。 * リモートアクセスが必要な場合は、Virtual Private Network（VPN）などのより安全な方法を使用する。ただし、VPN自体にも脆弱性が存在する可能性があり、利用可能な最新バージョンに更新する必要があることを認識する。また、VPNは接続されているデバイスと同等のセキュリティしか持たないことも認識する。 * ICS資産のプロアクティブな防御のために、推奨されるサイバーセキュリティ戦略を実装する。 * 確立された社内手順に従い、疑わしい悪意のあるアクティビティを**CISA**に報告する。 * 要求されていない電子メールメッセージ内のWebリンクをクリックしたり、添付ファイルを開いたりしない。 ## 謝辞 **G DATA Advanced Analytics**の**Maximilian Hildebrand**氏が、この脆弱性を**CISA**に報告しました。