Plateforme
other
Composant
heatmiser-wifi-thermostat
Corrigé dans
1.7.1
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le Thermostat Wifi Heatmiser, versions 1.7 à 1.7. Cette faille permet à un attaquant d'exploiter des utilisateurs authentifiés pour modifier les informations d'identification de l'administrateur sans leur consentement. L'exploitation réussie de cette vulnérabilité peut compromettre le contrôle du thermostat et potentiellement affecter le système de chauffage central associé. Des mesures d'atténuation sont disponibles en attendant une mise à jour.
L'impact principal de cette vulnérabilité CSRF réside dans la possibilité pour un attaquant de prendre le contrôle du Thermostat Wifi Heatmiser. En créant des formulaires HTML malveillants ciblant l'endpoint networkSetup.htm avec les paramètres usnm, usps et cfps, un attaquant peut modifier le nom d'utilisateur et le mot de passe de l'administrateur. Cela permettrait à l'attaquant de contrôler les paramètres du thermostat, potentiellement de modifier les horaires de chauffage, de désactiver des fonctionnalités de sécurité ou même d'accéder à d'autres systèmes connectés au réseau. Bien que l'attaquant doive d'abord tromper un utilisateur authentifié pour qu'il soumette la requête, la simplicité de l'exploitation CSRF en fait une menace significative.
Cette vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature CSRF et de la nécessité de tromper un utilisateur authentifié. Aucune preuve publique d'exploitation active n'a été signalée à ce jour, mais la simplicité de l'exploitation CSRF signifie qu'elle pourrait être exploitée par des acteurs malveillants. La publication de la vulnérabilité a eu lieu le 2026-04-12.
Users of Heatmiser Wifi Thermostat versions 1.7–1.7, particularly those who access the device's web interface directly and are not behind a robust WAF, are at risk. Shared hosting environments where multiple users might access the thermostat's interface are also potentially vulnerable.
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
En l'absence d'une version corrigée, plusieurs mesures d'atténuation peuvent être mises en œuvre. Il est fortement recommandé de désactiver temporairement l'accès à l'interface web du thermostat depuis des réseaux non sécurisés. La mise en place d'une solution de Web Application Firewall (WAF) capable de détecter et de bloquer les requêtes CSRF peut également aider à protéger le système. De plus, il est conseillé de renforcer les politiques de mots de passe et d'activer l'authentification à deux facteurs (si disponible) pour réduire l'impact d'une compromission des identifiants. Surveiller les journaux du thermostat pour détecter des activités suspectes, telles que des modifications inattendues des paramètres de configuration.
Mettez à jour le micrologiciel (firmware) du Thermostat Wifi Heatmiser vers une version corrigée. Consultez le site web du fabricant ou contactez le support technique pour obtenir des instructions spécifiques sur la façon de mettre à jour le micrologiciel et d'atténuer le risque d'attaques CSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25708 is a cross-site request forgery (CSRF) vulnerability affecting Heatmiser Wifi Thermostat versions 1.7–1.7, allowing attackers to potentially change admin credentials.
If you are using Heatmiser Wifi Thermostat version 1.7–1.7 and access the device's web interface, you are potentially affected by this vulnerability.
Upgrade to a patched firmware version is recommended. As no fixed version is available, implement WAF rules to protect the networkSetup.htm endpoint.
There is currently no public evidence of CVE-2019-25708 being actively exploited, but the potential remains due to the nature of CSRF vulnerabilities.
Please refer to the Heatmiser website or contact their support for the official advisory regarding CVE-2019-25708.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.