漏洞概述 漏洞编号:CVE-2026-25599 漏洞类型:缺少身份验证和明文数据传输 受影响产品:Orca 热泵(Orca heat pumps) 漏洞描述:Orca 热泵与控制服务器之间的通信存在明文传输问题,且缺乏输入验证,导致存储型跨站脚本(XSS)攻击。攻击者可以窃取用户会话 cookie,注入恶意代码,甚至控制热泵设备。 影响范围 受影响版本: - Orca 用户门户:版本 1.19 之前 - Orca 热泵终端:使用未加密 HTTP 通信的旧设备 具体影响: - 攻击者可以冒充合法设备,注入恶意数据 - 窃取用户会话 cookie,执行恶意脚本 - 控制热泵设备,修改操作参数,影响设备稳定性和安全性 修复方案 Orca 用户门户: - 已修复存储型 XSS 漏洞(CVE-79) - 实施了输入验证和清理、安全输出编码、内容安全策略(CSP)、会话 cookie 加固等防御措施 Orca 热泵终端: - 旧设备:建议联系 Orca 支持解决 - 新设备:使用 WSS(WebSocket Secure)协议和 HMAC 身份验证,确保通信安全 时间线 2026年1月5日:首次联系漏洞研究员 2026年1月9日:研究员提交完整漏洞报告 2026年1月14日:供应商正式收到漏洞通知 2026年2月3日:供应商收到 CVE 分配 2026年3月9日:供应商修复 CVE-79 漏洞 2026年4月17日:发布安全公告 其他信息 漏洞研究员:Tom Kern, SOC Tech Lead at NIL d.o.o., Slovenia 联系信息: - SI-CERT - ARNES - Tehnološki park 18, 1000 Ljubljana - T: 01 479 88 00 - E: info@cert.si 相关漏洞 CVE-2026-25600:Trac PDBM 中的凭证暴露漏洞 CVE-2025-42611:RouterOS 服务中的身份验证绕过漏洞 VANTAGE:全球增强测试自动化漏洞评估项目 --- 注意:页面中未包含 POC 代码或利用代码。