Katalog CVE

CVE-2018-25396

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Termostat Wifi Heatmiser w wersji 1.7 zawiera podatność na ujawnienie poświadczeń, która pozwala nieautoryzowanym atakującym na uzyskanie dostępu do danych administracyjnych poprzez stronę networkSetup.htm. Atakujący mogą wysłać żądanie do tego punktu końcowego i wydobyć wartości nazwy użytkownika i hasła w postaci tekstu jawnego z pól formularza HTML.

Ocena ryzyka

Ujawnienie poświadczeń administracyjnych może prowadzić do nieautoryzowanego dostępu do termostatu, co stwarza ryzyko przejęcia kontroli nad urządzeniem oraz potencjalnych zakłóceń w systemie zarządzania temperaturą w organizacji.

Rekomendacja

Zaleca się zablokowanie dostępu do strony networkSetup.htm oraz wdrożenie silnych mechanizmów uwierzytelniania, aby zabezpieczyć urządzenie przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

Heatmiser Wifi Thermostat 1.7 contains a credential disclosure vulnerability that allows unauthenticated attackers to retrieve administrative credentials by accessing the networkSetup.htm page. Attackers can request the networkSetup.htm endpoint and extract plaintext username and password values from HTML form fields to gain administrative access to the thermostat.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS