हीटमाईज़र वाईफाई थर्मोस्टेट 1.7 क्रॉस-साइट रिक्वेस्ट फोर्जरी

यह XSRF भेद्यता हमलावरों को Heatmiser Wifi Thermostat के व्यवस्थापक खाते को अनधिकृत रूप से नियंत्रित करने की अनुमति देती है। हमलावर networkSetup.htm एंडपॉइंट को लक्षित करते हुए दुर्भावनापूर्ण HTML फॉर्म तैयार कर सकते हैं, जिसमें usnm, usps, और cfps पैरामीटर शामिल हैं, ताकि उपयोगकर्ता की सहमति के बिना व्यवस्थापक उपयोगकर्ता नाम और पासवर्ड को संशोधित किया जा सके। इससे हमलावर थर्मोस्टैट की सेटिंग्स को बदल सकते हैं, उपयोगकर्ता डेटा तक पहुंच प्राप्त कर सकते हैं, और संभावित रूप से अन्य कनेक्टेड उपकरणों को भी प्रभावित कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां थर्मोस्टैट नेटवर्क सुरक्षा के लिए कमजोर हैं या जहां व्यवस्थापक क्रेडेंशियल कमजोर हैं।

Users of Heatmiser Wifi Thermostat versions 1.7–1.7, particularly those who access the device's web interface directly and are not behind a robust WAF, are at risk. Shared hosting environments where multiple users might access the thermostat's interface are also potentially vulnerable.

1. आरक्षित2026-04-12
2. प्रकाशित2026-04-12
3. संशोधित2026-04-13
4. EPSS अद्यतन2026-04-20

Heatmiser द्वारा जारी किए गए नवीनतम संस्करण में Heatmiser Wifi Thermostat को अपडेट करना इस भेद्यता को कम करने का सबसे प्रभावी तरीका है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी उपाय के रूप में, थर्मोस्टैट को एक सुरक्षित नेटवर्क पर रखें और मजबूत, अद्वितीय व्यवस्थापक क्रेडेंशियल का उपयोग करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) को XSRF हमलों को ब्लॉक करने के लिए कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, उपयोगकर्ता को किसी भी संदिग्ध लिंक पर क्लिक करने या अनजाने में फॉर्म सबमिट करने से रोकने के लिए उपयोगकर्ता शिक्षा महत्वपूर्ण है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, थर्मोस्टैट के लॉग की जांच करें और किसी भी असामान्य गतिविधि की निगरानी करें।