Platform
other
Component
heatmiser-wifi-thermostat
Opgelost in
1.7.1
CVE-2019-25708 beschrijft een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Heatmiser Wifi Thermostat. Deze kwetsbaarheid stelt aanvallers in staat om administrator credentials te wijzigen door geauthenticeerde gebruikers te misleiden tot het indienen van kwaadaardige verzoeken. De kwetsbaarheid treft versies 1.7–1.7 van de Heatmiser Wifi Thermostat. Een patch is beschikbaar.
Een succesvolle exploitatie van deze XSRF kwetsbaarheid stelt een aanvaller in staat om de administrator credentials van de Heatmiser Wifi Thermostat te wijzigen. Dit kan leiden tot ongeautoriseerde toegang tot het apparaat en de mogelijkheid om instellingen te manipuleren, de thermostaat te controleren en mogelijk toegang te krijgen tot andere apparaten op hetzelfde netwerk. De impact is aanzienlijk, omdat een aanvaller volledige controle over het verwarmingssysteem kan verkrijgen. Dit is vergelijkbaar met scenario's waarbij XSRF wordt gebruikt om gevoelige data te stelen of configuratiebestanden te wijzigen.
Er zijn momenteel geen openbare exploitatiecampagnes bekend die specifiek gericht zijn op CVE-2019-25708. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de XSRF aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren met behulp van standaard XSRF technieken. De publicatiedatum is 2026-04-12.
Users of Heatmiser Wifi Thermostat versions 1.7–1.7, particularly those who access the device's web interface directly and are not behind a robust WAF, are at risk. Shared hosting environments where multiple users might access the thermostat's interface are also potentially vulnerable.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Heatmiser Wifi Thermostat naar een beveiligde versie. Heatmiser heeft een patch uitgebracht om deze kwetsbaarheid te verhelpen. Indien een upgrade niet direct mogelijk is, kan het implementeren van extra beveiligingsmaatregelen helpen. Dit omvat het inschakelen van multi-factor authenticatie (MFA) voor administrator accounts en het implementeren van strikte toegangscontroles. Controleer ook de netwerkconfiguratie om ervoor te zorgen dat de thermostaat niet direct toegankelijk is vanaf het internet. Na de upgrade, bevestig de correcte werking door de administrator credentials te wijzigen en te controleren of de wijzigingen succesvol zijn doorgevoerd.
Werk de firmware van de Heatmiser Wifi thermostaat bij naar een gecorrigeerde versie. Controleer de website van de fabrikant of neem contact op met de technische ondersteuning voor specifieke instructies over hoe u de firmware kunt bijwerken en het risico op CSRF-aanvallen kunt beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-25708 is a cross-site request forgery (CSRF) vulnerability affecting Heatmiser Wifi Thermostat versions 1.7–1.7, allowing attackers to potentially change admin credentials.
If you are using Heatmiser Wifi Thermostat version 1.7–1.7 and access the device's web interface, you are potentially affected by this vulnerability.
Upgrade to a patched firmware version is recommended. As no fixed version is available, implement WAF rules to protect the networkSetup.htm endpoint.
There is currently no public evidence of CVE-2019-25708 being actively exploited, but the potential remains due to the nature of CSRF vulnerabilities.
Please refer to the Heatmiser website or contact their support for the official advisory regarding CVE-2019-25708.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.