Plataforma
other
Componente
heatmiser-wifi-thermostat
Corregido en
1.7.1
El CVE-2019-25708 describe una vulnerabilidad de Cross-Site Request Forgery (XSRF) presente en el Termostato Wifi Heatmiser, específicamente en las versiones 1.7. Esta vulnerabilidad permite a un atacante, mediante el engaño de un usuario autenticado, modificar las credenciales de administrador del dispositivo sin su consentimiento. La explotación exitosa de esta vulnerabilidad podría comprometer la seguridad del sistema de control de calefacción.
Un atacante puede explotar esta vulnerabilidad creando formularios HTML maliciosos que dirigen solicitudes al punto final networkSetup.htm del Termostato Wifi Heatmiser. Al manipular los parámetros usnm (usuario), usps (contraseña) y cfps (confirmación de contraseña), el atacante puede cambiar las credenciales de administrador sin la interacción consciente del usuario. Esto podría resultar en el control total del sistema de calefacción, permitiendo la modificación de la configuración, el acceso a datos sensibles y, potencialmente, el control de la temperatura en las instalaciones. La falta de validación adecuada de la entrada en el Termostato Wifi Heatmiser facilita esta manipulación.
El CVE-2019-25708 fue publicado el 2026-04-12. No se ha identificado una explotación activa confirmada en campañas conocidas. La probabilidad de explotación se considera baja debido a la necesidad de engañar a un usuario autenticado. No está listado en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Users of Heatmiser Wifi Thermostat versions 1.7–1.7, particularly those who access the device's web interface directly and are not behind a robust WAF, are at risk. Shared hosting environments where multiple users might access the thermostat's interface are also potentially vulnerable.
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
Dado que no se proporciona una versión corregida, la mitigación se centra en medidas preventivas. Implementar una validación estricta de la entrada en el punto final networkSetup.htm es crucial. Esto implica verificar la procedencia de las solicitudes y asegurar que los parámetros usnm, usps y cfps sean válidos y esperados. Considerar la implementación de un token CSRF para proteger contra este tipo de ataques. Si es posible, aislar el Termostato Wifi Heatmiser en una red segmentada para limitar el impacto de una posible explotación. Monitorear los registros del dispositivo en busca de actividades sospechosas, como cambios inesperados en las credenciales de administrador.
Actualice el firmware del termostato Heatmiser Wifi a una versión corregida. Verifique el sitio web del fabricante o contacte con el soporte técnico para obtener instrucciones específicas sobre cómo actualizar el firmware y mitigar el riesgo de ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25708 is a cross-site request forgery (CSRF) vulnerability affecting Heatmiser Wifi Thermostat versions 1.7–1.7, allowing attackers to potentially change admin credentials.
If you are using Heatmiser Wifi Thermostat version 1.7–1.7 and access the device's web interface, you are potentially affected by this vulnerability.
Upgrade to a patched firmware version is recommended. As no fixed version is available, implement WAF rules to protect the networkSetup.htm endpoint.
There is currently no public evidence of CVE-2019-25708 being actively exploited, but the potential remains due to the nature of CSRF vulnerabilities.
Please refer to the Heatmiser website or contact their support for the official advisory regarding CVE-2019-25708.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.