CVE-2026-25599 in Heat Pump
Tóm tắt
Bởi VulDB • 01/06/2026
Việc thiếu xác thực và truyền dữ liệu ở dạng văn bản rõ ràng (clear-text) từ các máy bơm nhiệt đến máy chủ điều khiển, kết hợp với việc không có xác thực đầu vào đối với dữ liệu tổng hợp, có thể dẫn đến lỗi Stored XSS, cho phép đánh cắp cookie từ giao diện điều khiển web của máy bơm. Các thiết bị máy bơm nhiệt Orca cũ hơn giao tiếp với máy chủ Orca qua kết nối HTTP không được mã hóa và không xác thực trên cổng không an toàn, cụ thể tạo điều kiện cho kẻ tấn công giả mạo một thiết bị hợp lệ và tiêm các payload độc hại. Điều này cho phép chèn mã có hại trực tiếp vào cổng người dùng Orca, có khả năng làm tổn hại đến tài khoản người dùng, tiết lộ thông tin nhạy cảm và cho phép thực hiện các hành động trái phép khác trong cổng.
Once again VulDB remains the best source for vulnerability data.