CISA警告OpenPLC ScadaBR跨站脚本漏洞（CVE-2021-26829）正遭攻击者利用

漏洞概况

美国网络安全和基础设施安全局（CISA）已正式将OpenPLC ScadaBR的一个关键漏洞纳入其已知被利用漏洞（KEV）目录，确认威胁攻击者正在实际攻击中利用该漏洞。该安全缺陷编号为CVE-2021-26829，是存在于ScadaBR系统system_settings.shtm组件中的跨站脚本（XSS）漏洞。虽然该漏洞早在数年前就已披露，但CISA于2025年11月28日将其列入KEV目录，表明针对工业控制环境的漏洞利用活动正呈现令人担忧的抬头趋势。

技术细节

该漏洞允许远程攻击者通过系统设置界面注入任意网页脚本或HTML代码。当管理员或认证用户访问被篡改的页面时，恶意脚本将在其浏览器会话中执行。该漏洞被归类为CWE-79（网页生成期间输入数据净化不充分），对运营技术（OT）网络构成重大风险。

成功利用该漏洞可使攻击者劫持用户会话、窃取凭证或修改SCADA系统中的关键配置。鉴于OpenPLC被广泛用于工业自动化研究和实施，其攻击面相当可观。CISA指出，该漏洞可能影响各类产品中使用的开源组件、第三方库或专有实现，因此难以全面界定威胁范围。

修复要求

根据第22-01号强制性操作指令（BOD），CISA已为联邦民事行政部门（FCEB）机构制定了严格的修复时间表，要求这些机构在2025年12月19日前完成对CVE-2021-26829漏洞的防护工作。

虽然CISA目前尚未将该漏洞利用与已知勒索软件活动相关联，但该机构警告称，未打补丁的SCADA系统仍是高级威胁攻击者的高价值目标。

缓解措施

安全团队和网络管理员应优先采取以下行动：

• 应用缓解措施：立即实施供应商提供的补丁或配置变更
• 审查第三方使用情况：确认网络中其他工具是否嵌入了存在漏洞的ScadaBR组件
• 停止使用：若无法实施缓解措施，CISA建议停止使用该产品以避免入侵

建议各组织查阅GitHub上的修复代码拉取请求（Scada-LTS/Scada-LTS）以获取代码级详细信息。