CVE-2026-25599
ŚrednieCVSS 6.3Streszczenie
Brak uwierzytelnienia oraz przesyłanie danych w postaci niezaszyfrowanej z pomp ciepła do serwera kontrolnego, w połączeniu z brakiem walidacji danych wejściowych, może prowadzić do przechowywanego ataku XSS, który umożliwia kradzież ciasteczek z interfejsu webowego pompy. Starsze urządzenia pomp ciepła Orca komunikujące się z serwerem Orca przez niezaszyfrowane i nieautoryzowane połączenie HTTP na niezabezpieczonym porcie umożliwiają atakującemu podszywanie się pod legalne urządzenie i wstrzykiwanie złośliwych ładunków.
Ocena ryzyka
To może prowadzić do wprowadzenia szkodliwego kodu bezpośrednio do portalu użytkownika Orca, co potencjalnie zagraża kontom użytkowników, ujawnia wrażliwe informacje oraz umożliwia dalsze nieautoryzowane działania w portalu.
Rekomendacja
Zaleca się wdrożenie silnego uwierzytelnienia oraz szyfrowania komunikacji między urządzeniami a serwerem. Należy również wprowadzić walidację danych wejściowych, aby zminimalizować ryzyko ataków XSS.
Oryginalny opis (angielski, źródło NVD)
Missing authentication and clear‑text transmission of data from the heat pumps to the control server, combined with the absence of input validation on aggregated data, can lead to stored XSS that enables theft of cookies from the pump’s web control interface. Older Orca heat pump devices communicating with the Orca server over an unencrypted and unauthenticated HTTP connection on a non-secure port specifically enable an attacker to impersonate a legitimate device and inject malicious payloads. This enables the insertion of harmful code directly into the Orca user portal, potentially compromising user accounts, exposing sensitive information, and allowing further unauthorized actions within the portal.

