JVNDB-2025-007545
|
三菱電機製空調管理システムにおける認証回避の脆弱性
|
|
三菱電機製の空調管理システムには、重要な機能に対する認証の欠如に起因した認証回避の脆弱性 (CWE-306) が存在します。
* CVE-2025-3699
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
三菱電機
- AE-200A Ver.8.01 およびそれ以前のバージョン
- AE-200E Ver.8.01 およびそれ以前のバージョン
- AE-200J Ver.8.01 およびそれ以前のバージョン
- AE-50A Ver.8.01 およびそれ以前のバージョン
- AE-50E Ver.8.01 およびそれ以前のバージョン
- AE-50J Ver.8.01 およびそれ以前のバージョン
- AG-150A-A Ver.3.21 およびそれ以前のバージョン
- AG-150A-J Ver.3.21 およびそれ以前のバージョン
- CMS-RMD-J Ver.1.40 およびそれ以前のバージョン
- EB-50GU-A Ver.7.11 およびそれ以前のバージョン
- EB-50GU-J Ver.7.11 およびそれ以前のバージョン
- EW-50A Ver.8.01 およびそれ以前のバージョン
- EW-50E Ver.8.01 およびそれ以前のバージョン
- EW-50J Ver.8.01 およびそれ以前のバージョン
- G-150AD Ver.3.21 およびそれ以前のバージョン
- G-50 Ver.3.37 およびそれ以前のバージョン
- G-50-W Ver.3.37 およびそれ以前のバージョン
- G-50A Ver.3.37 およびそれ以前のバージョン
- GB-24A Ver.9.12 およびそれ以前のバージョン
- GB-50 Ver.3.37 およびそれ以前のバージョン
- GB-50A Ver.3.37 およびそれ以前のバージョン
- GB-50AD Ver.3.21 およびそれ以前のバージョン
- GB-50ADA-A Ver.3.21 およびそれ以前のバージョン
- GB-50ADA-J Ver.3.21 およびそれ以前のバージョン
- TE-200A Ver.8.01 およびそれ以前のバージョン
- TE-50A Ver.8.01 およびそれ以前のバージョン
- TW-50A Ver.8.01 およびそれ以前のバージョン
|
影響を受ける製品の型番やバージョンの確認方法等詳細については、開発者が提供する情報を確認してください。
|
|
遠隔の第三者によって当該製品の認証を回避しアクセスされ、機密情報の取得、空調管理システムの不正操作などをされる可能性があります。
また、取得した機密情報を使用し、当該製品のファームウェアを改ざんされる可能性もあります。
なお、本脆弱性が悪用される条件は、システム構成によって異なります。
詳しくは、開発者が提供する情報を確認してください。
|
|
[ワークアラウンドを実施する]
開発者によると、本脆弱性に対応した修正版ファームウェア提供の予定はないとのことです。
そのため、本脆弱性の影響を軽減するために、次に示す緩和策・軽減策を講じることが推奨されています。
なお、一部製品においては、軽減策を強化したファームウェアを提供する予定とのことです。
* 該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスに制限する
* 該当製品および当該製品へアクセス可能な PC ならびにそれらが接続されているネットワークへの物理的なアクセスを制限する
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 重要な機能に対する認証の欠如(CWE-306) [その他]
|
|
- CVE-2025-3699
|
|
- JVN : JVNVU#96471539
|
|
|
