Tom Kern

**Nome do Software Vulnerável e Versões Afetadas** Dispositivos de bomba de calor Orca (versões afetadas não especificadas) **Descrição** A ausência de autenticação e a transmissão de dados em texto simples das bombas de calor para o servidor de controle, combinadas com a falta de validação de entrada em dados agregados, permitem o Cross-Site Scripting (XSS) armazenado. Isso ocorre porque dispositivos mais antigos se comunicam com o servidor Orca por meio de conexões HTTP não criptografadas e não autenticadas em portas não seguras. Um invasor pode se passar por um dispositivo legítimo para injetar cargas maliciosas no portal do usuário Orca, o que pode levar ao roubo de cookies da interface de controle web, comprometimento de contas de usuário e exposição de informações sensíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.