الثغرات ›

CVE-2018-25396

مرتفع

CWE-256 — نوع الضعف

                    نُشر: May 29, 2026                      ·  آخر تحديث: Jun 5, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Heatmiser Wifi Thermostat 1.7 contains a credential disclosure vulnerability that allows unauthenticated attackers to retrieve administrative credentials by accessing the networkSetup.htm page. Attackers can request the networkSetup.htm endpoint and extract plaintext username and password values from HTML form fields to gain administrative access to the thermostat.

🤖 ملخص AI

Heatmiser Wifi Thermostat 1.7 exposes administrative credentials in plaintext through the networkSetup.htm page, allowing unauthenticated attackers to gain full control. Attackers can directly access this endpoint without authentication to extract username and password from HTML form fields.

📄 الوصف (العربية)

يحتوي Heatmiser Wifi Thermostat الإصدار 1.7 على ثغرة في الكشف عن بيانات الاعتماد حيث يتم تخزين اسم المستخدم وكلمة المرور بصيغة نصية في صفحة networkSetup.htm. يمكن لأي مهاجم الوصول إلى هذه الصفحة دون الحاجة إلى مصادقة واستخراج بيانات الاعتماد الإدارية بسهولة. هذا يسمح بالوصول غير المصرح به الكامل إلى جهاز الترموستات والتحكم به عن بعد.

🤖 ملخص تنفيذي (AI)

Heatmiser Wifi Thermostat 1.7 يكشف بيانات اعتماد المسؤول بصيغة نصية عبر صفحة networkSetup.htm، مما يسمح للمهاجمين غير المصرح لهم بالحصول على التحكم الكامل. يمكن للمهاجمين الوصول مباشرة إلى نقطة النهاية هذه بدون مصادقة لاستخراج اسم المستخدم وكلمة المرور من حقول نموذج HTML.

🤖 التحليل الذكي آخر تحليل: Jun 3, 2026 12:20

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1589.001 T1592.004 T1078.001

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update Heatmiser Wifi Thermostat to the latest firmware version immediately. Implement network segmentation to restrict access to thermostat management interfaces. Disable remote access if not required. Change default credentials and implement strong authentication mechanisms. Monitor network traffic for unauthorized access attempts to the networkSetup.htm endpoint.

🔧 خطوات المعالجة (العربية)

قم بتحديث Heatmiser Wifi Thermostat إلى أحدث إصدار من البرامج الثابتة على الفور. تطبيق تقسيم الشبكة لتقييد الوصول إلى واجهات إدارة الترموستات. تعطيل الوصول البعيد إذا لم يكن مطلوباً. تغيير بيانات الاعتماد الافتراضية وتطبيق آليات مصادقة قوية. مراقبة حركة المرور على الشبكة للكشف عن محاولات الوصول غير المصرح بها إلى نقطة networkSetup.htm.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.10.1.2

🔗 المراجع والمصادر 2

🔗

https://www.exploit-db.com/exploits/45623

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/heatmiser-wifi-thermostat-credential-disclosure-vi...

disclosure@vulncheck.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-256

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-29

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-256

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25396

عرّفنا بنفسك

تسجيل الدخول مطلوب