CVE-2026-25599 in Heat Pump
요약
\~에 의해 VulDB • 2026. 06. 01.
히트 펌프에서 제어 서버로 전송되는 데이터의 인증 누락 및 평문 전송, 그리고 집계된 데이터에 대한 입력 검증 부재가 결합되어 저장형 XSS(크로스 사이트 스크립팅)가 발생할 수 있으며, 이를 통해 펌프의 웹 제어 인터페이스에서 쿠키가 탈취될 수 있습니다. 비암호화 및 비인증 HTTP 연결을 통해 비보안 포트에서 Orca 서버와 통신하는 구형 Orca 히트 펌프 장치는 공격자가 합법적인 장치를 사칭하고 악성 페이로드를 주입할 수 있게 합니다. 이를 통해 Orca 사용자 포털에 해로운 코드가 직접 삽입되어 사용자 계정이 침해되고, 민감한 정보가 노출되며, 포털 내에서 추가적인 무단 작업이 가능해질 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.