Plataforma
other
Componente
heatmiser-wifi-thermostat
Corrigido em
1.7.1
Uma vulnerabilidade de Cross-Site Request Forgery (XSRF) foi descoberta no Termostato Wifi Heatmiser nas versões 1.7–1.7. Esta falha permite que atacantes modifiquem as credenciais de administrador, comprometendo a segurança do dispositivo. A exploração bem-sucedida requer que um usuário autenticado seja enganado para enviar uma requisição maliciosa. A correção está pendente, com recomendações de mitigação fornecidas abaixo.
A vulnerabilidade XSRF no Termostato Wifi Heatmiser permite que um atacante, através de engenharia social ou outras técnicas, force um usuário autenticado a executar ações indesejadas. Especificamente, o atacante pode manipular o usuário para enviar requisições para o endpoint networkSetup.htm com parâmetros usnm, usps e cfps, alterando efetivamente o nome de usuário e a senha do administrador. Isso concede ao atacante controle total sobre o dispositivo, permitindo a alteração de configurações, acesso a dados e potencialmente o controle do sistema de aquecimento. A ausência de validação adequada de entrada torna a exploração relativamente simples, especialmente se o usuário for induzido a clicar em um link malicioso ou visitar um site comprometido.
A vulnerabilidade CVE-2019-25708 foi divulgada em 2026-04-12. Não há evidências públicas de exploração ativa, mas a natureza da vulnerabilidade XSRF a torna passível de ataques direcionados. A ausência de um KEV listing indica um baixo risco imediato, mas a vulnerabilidade permanece aberta e requer atenção. A falta de um patch oficial aumenta o risco de exploração futura.
Users of Heatmiser Wifi Thermostat versions 1.7–1.7, particularly those who access the device's web interface directly and are not behind a robust WAF, are at risk. Shared hosting environments where multiple users might access the thermostat's interface are also potentially vulnerable.
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Como a correção oficial para CVE-2019-25708 ainda não foi lançada, a mitigação se concentra em medidas preventivas. Implemente validação rigorosa de entrada em todos os endpoints, especialmente networkSetup.htm, para garantir que as requisições sejam legítimas. Considere a implementação de políticas de segurança que exijam autenticação multifator (MFA) para alterações de credenciais de administrador. Além disso, eduque os usuários sobre os riscos de XSRF e a importância de não clicar em links suspeitos ou visitar sites não confiáveis. Monitore logs de acesso em busca de padrões incomuns de requisições para o endpoint networkSetup.htm. A Heatmiser deve ser contactada para obter atualizações de firmware.
Atualize o firmware do termostato Heatmiser Wifi para uma versão corrigida. Verifique o site do fabricante ou entre em contato com o suporte técnico para obter instruções específicas sobre como atualizar o firmware e mitigar o risco de ataques CSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a alteração de credenciais de administrador através de requisições maliciosas, sem o consentimento do usuário.
Se você utiliza o Termostato Wifi Heatmiser nas versões 1.7–1.7, você está potencialmente afetado e deve tomar medidas de mitigação.
A correção oficial está pendente. Implemente validação de entrada, MFA e eduque os usuários sobre os riscos de XSRF.
Não há evidências públicas de exploração ativa, mas a vulnerabilidade permanece aberta e requer atenção.
Consulte o site da Heatmiser ou entre em contato com o suporte técnico para obter informações sobre o aviso oficial e atualizações de firmware.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.