CVE-2019-25708

Heatmiser Wifi Thermostat 1.7 Cross-Site Request Forgery

CVSS 5.3 MEDIUMEPSS 0.1%CWE-352

Vexday Risk Score

33Atención

Decisión SSVC (CISA)

Attend

PoC disponible → seguir de cerca

CVSS 5.3EPSS 0.1%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

12 abr 2026Publicada en NVD

Recomendación: Planificar corrección próxima — ya existe PoC pública.

Heatmiser Wifi Thermostat 1.7 contains a cross-site request forgery vulnerability that allows attackers to change administrator credentials by tricking authenticated users into submitting malicious requests. Attackers can craft HTML forms targeting the networkSetup.htm endpoint with parameters usnm, usps, and cfps to modify the admin username and password without user consent.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:L

Productos afectados

Heatmiser · Heatmiser Wifi Thermostat

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/46100no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.exploit-db.com/exploits/46100 https://www.vulncheck.com/advisories/heatmiser-wifi-thermostat-cross-site-request-forgery