## Descoberta Vulnerabilidade Crítica de XSS em Gravadores de Vídeo em Rede CP Plus A **CISA** emitiu um alerta sobre uma vulnerabilidade crítica que afeta gravadores de vídeo em rede **CP Plus** de 8 canais. A vulnerabilidade, identificada como **CVE-2026-6824**, é uma falha de Cross-Site Scripting (XSS) armazenada que poderia permitir que atacantes comprometessem sessões de usuários e dados sensíveis. [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-05.json) ### Impacto A exploração bem-sucedida desta vulnerabilidade permite que o script malicioso de um atacante seja executado no navegador de qualquer usuário autenticado ou administrador que acesse a interface afetada. Isso pode levar a: * Comprometimento de sessões de usuários * Execução de ações não autorizadas com os privilégios da vítima * Exposição ou manipulação de dados sensíveis * Degradação da integridade geral do sistema ### Produtos Afetados As seguintes versões do gravador de vídeo em rede **CP Plus** de 8 canais são afetadas: * CP-UNR-108F1 Hardware V1.0 * CP-UNR-108F1 Web V3.2.7.128806 * CP-UNR-108F1 System V4.001.00AT009.0.R ### Detalhes da Vulnerabilidade **CVE-2026-6824**: Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada existe em certos dispositivos NVR da série 1xxx devido à sanitização insuficiente de entradas fornecidas pelo usuário em módulos funcionais específicos. Atacantes podem injetar scripts maliciosos, que são então armazenados persistentemente no backend do dispositivo. Quando administradores ou usuários acessam páginas afetadas, os scripts armazenados são executados em seus navegadores, levando a potencial sequestro de sessão, ações não autorizadas ou roubo de dados. [Ver Detalhes do CVE](https://www.cve.org/CVERecord?id=CVE-2026-6824) #### Produtos Afetados **Fornecedor:** CP Plus **Versão do Produto:** CP Plus CP-UNR-108F1 Hardware: V1.0, CP Plus CP-UNR-108F1 Web: V3.2.7.128806, CP Plus CP-UNR-108F1 System: V4.001.00AT009.0.R **Status do Produto:** known_affected **CWE Relevante:** [CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) ### Contexto * **Setores de Infraestrutura Crítica:** Instalações Comerciais, Manufatura Crítica, Serviços de Emergência * **Países/Áreas Implantadas:** Índia, Nepal, Emirados Árabes Unidos, Gâmbia * **Localização da Sede da Empresa:** Índia ### Mitigação A **CISA** recomenda que os usuários tomem as seguintes medidas defensivas para minimizar o risco de exploração: * Minimize a exposição de rede para todos os dispositivos e/ou sistemas de controle, garantindo que não sejam acessíveis pela internet. * Localize redes de sistemas de controle e dispositivos remotos atrás de firewalls e isole-os de redes corporativas. * Quando o acesso remoto for necessário, utilize métodos mais seguros, como Redes Privadas Virtuais (**VPNs**), reconhecendo que **VPNs** podem ter vulnerabilidades e devem ser atualizadas para a versão mais recente disponível. Reconheça também que **VPN** é tão segura quanto os dispositivos conectados. * Realize análise de impacto e avaliação de risco adequadas antes de implementar medidas defensivas. A **CISA** também lembra aos usuários que sejam vigilantes contra ataques de engenharia social: * Não clique em links da web ou abra anexos em mensagens de e-mail não solicitadas. ### Agradecimentos * Jithin Nambiar J relatou esta vulnerabilidade à **CISA**