CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25396

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

Termostat Wifi Heatmiser w wersji 1.7 zawiera podatność na ujawnienie poświadczeń, która pozwala nieautoryzowanym atakującym na uzyskanie dostępu do danych administracyjnych poprzez stronę networkSetup.htm. Atakujący mogą wysłać żądanie do tego punktu końcowego i wydobyć wartości nazwy użytkownika i hasła w postaci tekstu jawnego z pól formularza HTML.

Risk Assessment

Ujawnienie poświadczeń administracyjnych może prowadzić do nieautoryzowanego dostępu do termostatu, co stwarza ryzyko przejęcia kontroli nad urządzeniem oraz potencjalnych zakłóceń w systemie zarządzania temperaturą w organizacji.

Recommendation

Zaleca się zablokowanie dostępu do strony networkSetup.htm oraz wdrożenie silnych mechanizmów uwierzytelniania, aby zabezpieczyć urządzenie przed nieautoryzowanym dostępem.

Original NVD description (English source)

Heatmiser Wifi Thermostat 1.7 contains a credential disclosure vulnerability that allows unauthenticated attackers to retrieve administrative credentials by accessing the networkSetup.htm page. Attackers can request the networkSetup.htm endpoint and extract plaintext username and password values from HTML form fields to gain administrative access to the thermostat.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS