Résumé
Le 3 décembre 2025, la CISA a averti d’une faille de sécurité dans OpenPLC ScadaBR, un logiciel utilisé pour superviser des systèmes industriels comme les SCADA.
Référencée sous CVE-2021-26828, cette vulnérabilité permet à un utilisateur authentifié à distance d’uploader et d’exécuter des fichiers JSP malveillants via view_edit.shtm, ce qui peut compromettre totalement le serveur en exécutant du code arbitraire.
Solutions
Il est recommandé d’appliquer les correctifs du fournisseur.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 8.8
EPSS : 52.65%
Risques : Exécution de code à distance.
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- OpenPLC ScadaBR jusqu’à 0.9.1 sur Linux.
- OpenPLC ScadaBR jusqu’à 1.12.4 sur Windows.
Documentation
- Bulletin de sécurité de ScadaBR
https://github.com/SCADA-LTS/Scada-LTS/pull/2174
- Détails NIST CVE
https://nvd.nist.gov/vuln/detail/CVE-2021-26828
- CVE Details
https://www.cve.org/CVERecord?id=CVE-2021-26828
- CWE :
https://www.cvedetails.com/cwe-details/434/Unrestricted-Upload-of-File-with-Dangerous-Type.html