MEDIUMCVE-2019-25708CVSS 4.3

Heatmiser Wifi Thermostat 1.7 Cross-Site Request Forgery

プラットフォーム

other

コンポーネント

heatmiser-wifi-thermostat

修正版

1.7.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-25708は、Heatmiser Wifi Thermostatのバージョン1.7に存在するクロスサイトリクエストフォージェリ（XSRF）の脆弱性です。攻撃者は、認証済みのユーザーを騙し、悪意のあるリクエストを送信させることで、管理者権限を不正に取得する可能性があります。この脆弱性は、ネットワーク設定画面のusnm、usps、cfpsパラメータを悪用することで、ユーザーの同意なしに管理者アカウントを変更することを可能にします。対策として、ファームウェアのアップデートを推奨します。

影響と攻撃シナリオ

このXSRF脆弱性を悪用されると、攻撃者は認証済みのユーザーの操作を偽装し、Heatmiser Wifi Thermostatの設定を不正に変更できます。具体的には、管理者アカウントのユーザー名とパスワードを変更することで、システム全体を制御する権限を奪取する可能性があります。さらに、不正な設定変更により、暖房システムの動作を妨害したり、誤った情報を表示させたりすることも考えられます。この脆弱性は、ネットワーク内の他のデバイスへの攻撃の足がかりとなる可能性も否定できません。類似のXSRF攻撃は、Webアプリケーションにおいて頻繁に報告されており、適切な対策を講じない場合、重大なセキュリティインシデントにつながる可能性があります。

悪用の状況

CVE-2019-25708は、2026年4月12日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用されるリスクは存在します。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていませんが、XSRF攻撃の一般的な手法を用いることで、脆弱性を検証できる可能性があります。

リスク対象者翻訳中…

Users of Heatmiser Wifi Thermostat versions 1.7–1.7, particularly those who access the device's web interface directly and are not behind a robust WAF, are at risk. Shared hosting environments where multiple users might access the thermostat's interface are also potentially vulnerable.

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントheatmiser-wifi-thermostat

ベンダーHeatmiser

影響範囲修正版

1.7 – 1.71.7.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-04-12
公開日2026-04-12
更新日2026-04-13
EPSS 更新日2026-04-20

未パッチ — 公開から42日経過

緩和策と回避策

この脆弱性への直接的な修正は、ファームウェアのアップデートによって提供されます。アップデートが利用できない場合は、ネットワーク設定の強化が不可欠です。具体的には、Heatmiser Wifi Thermostatへのアクセスを信頼できるネットワークに限定し、強力なパスワードを設定することが重要です。また、Webアプリケーションファイアウォール（WAF）を導入し、XSRF攻撃を検知・防御することも有効な手段です。WAFの設定では、ネットワーク設定画面への不正なリクエストを監視し、不審なアクセスを遮断するようにルールを定義します。さらに、ユーザーに対して、不審なリンクをクリックしないよう注意喚起することも重要です。アップデート後、設定が正常に反映されているか、管理者アカウントの権限が適切に管理されているかを確認してください。

修正方法

Heatmiser Wifi Thermostat のファームウェアを修正されたバージョンにアップデートしてください。具体的なファームウェアのアップデート方法と CSRF 攻撃のリスクを軽減するための手順については、製造元のウェブサイトを確認するか、技術サポートにお問い合わせください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25708 — XSRF in Heatmiser Wifi Thermostatとは何ですか？

CVE-2019-25708は、Heatmiser Wifi Thermostatのバージョン1.7に存在するクロスサイトリクエストフォージェリ（XSRF）の脆弱性で、攻撃者が認証済みユーザーを騙して設定を変更できる可能性があります。

CVE-2019-25708 in Heatmiser Wifi Thermostatの影響はありますか？

はい、Heatmiser Wifi Thermostatのバージョン1.7を使用している場合、管理者権限の不正取得や設定変更のリスクがあります。

CVE-2019-25708 in Heatmiser Wifi Thermostatを修正するにはどうすればよいですか？

ファームウェアのアップデートを適用してください。アップデートが利用できない場合は、ネットワーク設定の強化やWAFの導入を検討してください。

CVE-2019-25708は積極的に悪用されていますか？

現時点では具体的な悪用事例は確認されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用されるリスクは存在します。

CVE-2019-25708に関するHeatmiserの公式アドバイザリはどこで入手できますか？

Heatmiserの公式ウェブサイトまたはサポートチャネルでアドバイザリをご確認ください。