Katalog CVE

CVE-2025-6260

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wbudowany serwer WWW w termostacie z wymienionych wersji zawiera podatność, która pozwala nieautoryzowanym atakującym, zarówno w lokalnej sieci, jak i z Internetu przez router z ustawionym przekierowaniem portów, na bezpośredni dostęp do serwera WWW termostatu oraz resetowanie danych logowania użytkowników poprzez manipulację określonymi elementami interfejsu webowego.

Ocena ryzyka

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do termostatu, co może prowadzić do utraty kontroli nad systemem oraz potencjalnych zakłóceń w zarządzaniu temperaturą w obiektach.

Rekomendacja

Zaleca się aktualizację oprogramowania termostatu do najnowszej wersji oraz zabezpieczenie dostępu do serwera WWW poprzez odpowiednie konfiguracje zapory sieciowej i wyłączenie przekierowania portów, jeśli nie jest to konieczne.

Oryginalny opis (angielski, źródło NVD)

The embedded web server on the thermostat listed version ranges contain a vulnerability that allows unauthenticated attackers, either on the local area network or from the Internet via a router with port forwarding set up, to gain direct access to the thermostat's embedded web server and reset user credentials by manipulating specific elements of the embedded web interface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS