CVE-2025-3699
KrytyczneStreszczenie
W podatności typu 'Brak uwierzytelnienia dla krytycznej funkcji' w produktach Mitsubishi Electric Corporation, atakujący zdalny i nieautoryzowany może obejść proces uwierzytelniania, co pozwala na nielegalne kontrolowanie systemów klimatyzacyjnych lub ujawnianie informacji w nich zawartych. Dodatkowo, atakujący może manipulować oprogramowaniem układowym tych urządzeń.
Ocena ryzyka
Brak odpowiedniego uwierzytelnienia stwarza poważne ryzyko dla bezpieczeństwa systemów klimatyzacyjnych, co może prowadzić do nieautoryzowanego dostępu i potencjalnych szkód w infrastrukturze organizacji.
Rekomendacja
Zaleca się natychmiastowe wdrożenie mechanizmów uwierzytelniania dla krytycznych funkcji oraz aktualizację oprogramowania urządzeń do najnowszych wersji, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Missing Authentication for Critical Function vulnerability in Mitsubishi Electric Corporation G-50 all versions, G-50-W all versions, G-50A all versions, GB-50 all versions, GB-50A all versions, GB-24A all versions, G-150AD all versions, AG-150A-A all versions, AG-150A-J all versions, GB-50AD all versions, GB-50ADA-A all versions, GB-50ADA-J all versions, EB-50GU-A all versions, EB-50GU-J all versions, AE-200J all versions, AE-200A all versions, AE-200E all versions, AE-50J all versions, AE-50A all versions, AE-50E all versions, EW-50J all versions, EW-50A all versions, EW-50E all versions, TE-200A all versions, TE-50A all versions, TW-50A all versions, and CMS-RMD-J all versions allows a remote unauthenticated attacker to bypass authentication and then control the air conditioning systems illegally, or disclose information in them by exploiting this vulnerability. In addition, the attacker may tamper with firmware for them using the disclosed information.

