关键信息 1. 漏洞概述 漏洞类型: 缺失对关键功能的认证 (CVE-306) CVSS v4.9.3: 高危 影响范围: Network Thermostat X-Series WiFi Thermostats 的多个版本 2. 影响产品 X-Series WiFi thermostats: 版本从 v8.5u 到 v9.6(不包括 v9.6) X-Series WiFi thermostats: 版本从 v8.6u 到 v9.45(不包括 v9.45) X-Series WiFi thermostats: 版本从 v9.5u 到 v10.20(不包括 v10.20) X-Series WiFi thermostats: 版本从 v10.1u 到 v11.5(不包括 v11.5) 3. 漏洞详情 描述: 内嵌的Web服务器在本地或互联网上允许未授权访问,通过伪造特定的HTTP请求和响应。 CVSS评分: 9.5 (严重) 4. 影响领域 关键基础设施部门: 商业设施 受影响地区: 美国、加拿大 公司总部位置: 美国 5. 缓解措施 更新到最新固件版本: - X-Series WiFi thermostats: 至少 v9.6 - X-Series WiFi thermostats: 至少 v9.45 - X-Series WiFi thermostats: 至少 v10.20 - X-Series WiFi thermostats: 至少 v11.5 基本防御措施: - 限制网络暴露 - 使用防火墙隔离控制系统网络 - 远程访问时使用更安全的方法如VPN 6. 报告者 Yousuf Kandil 向CISA报告了此漏洞。