米当局、工場設備向け「ScadaBR」のXSS脆弱性悪用を警告

【要点】

◎工場向けSCADAツール「ScadaBR」の XSS 脆弱性が悪用されていると米CISAが警告。CVE-2021-26829が KEV に追加され、関連ツールの利用者にも対策を求めている。 (Security NEXT)

【脆弱性内容】

公開日	登録日	CVE番号	NVD	ベンダー	CVSS v3	CWE	脆弱性	KEV	備考
2021/06/11	-	CVE-2021-26829	NVD	ScadaBR	5.4(NVD) 5.4(CISA-ADP)	CWE-79	クロスサイトスクリプティング	2025/11/28	OpenPLC ScadaBR

【要約】

米CISAは2025年11月、「悪用が確認された脆弱性カタログ（KEV）」に、SCADA向けオープンソース「ScadaBR」の XSS 脆弱性 CVE-2021-26829 を追加し警告した。設定画面 system_settings.shtm を経由してスクリプトを埋め込まれる脆弱性で、既に攻撃が確認されている。ScadaBR は工場・エネルギー施設のダッシュボード構築に広く利用されており、サードパーティの製品や派生ツールも影響を受け得るとして、行政機関に対策を義務づけつつ利用者全体に注意喚起している。

【ニュース】

◆米当局、工場設備向け「ScadaBR」のXSS脆弱性悪用を警告 (Security NEXT, 2025/12/01)
https://www.security-next.com/177775

【関連情報】

◆米当局、工場設備向け「ScadaBR」のXSS脆弱性悪用を警告 (Security NEXT, 2025/12/01)
https://www.security-next.com/177775
⇒ https://malware-log.hatenablog.com/entry/2025/12/01/000000　[TT Malware Log]

【関連まとめ記事】

◆全体まとめ
　◆攻撃手法 (まとめ)

◆XSS / クロスサイトスクリプティング (まとめ)
https://vul.hatenadiary.com/entry/XSS