Japan Vulnerability Notes(JVN)は6月26日、三菱電機製空調管理システムに関する脆弱性情報を公開した。同日付で、三菱電機も対処法を案内している。
公開された脆弱性のCVE番号は「CVE-2025-3699」。JVNによると、この脆弱性により、以下のような問題が起きる可能性があるという。
・遠隔の第三者によって当該製品の認証を回避しアクセスされ、機密情報の取得、空調管理システムの不正操作などをされる可能性がある
・取得した機密情報を使用し、当該製品のファームウェアを改ざんされる可能性がある
脆弱性の影響を受ける製品の型番とバージョンは以下のとおり。
■脆弱性の影響を受ける製品の型番とバージョン
・G-50:Ver.3.37 以前のバージョン
・G-50-W:Ver.3.37 以前のバージョン
・G-50A:Ver.3.37 以前のバージョン
・GB-50:Ver.3.37 以前のバージョン
・GB-50A:Ver.3.37 以前のバージョン
・GB-24A:Ver.9.12 以前のバージョン
・G-150AD:Ver.3.21 以前のバージョン
・AG-150A-A:Ver.3.21 以前のバージョン
・AG-150A-J:Ver.3.21 以前のバージョン
・GB-50AD:Ver.3.21 以前のバージョン
・GB-50ADA-A:Ver.3.21 以前のバージョン
・GB-50ADA-J:Ver.3.21 以前のバージョン
・EB-50GU-A:Ver.7.11 以前のバージョン
・EB-50GU-J:Ver.7.11 以前のバージョン
・AE-200J:Ver.8.01 以前のバージョン
・AE-200A:Ver.8.01 以前のバージョン
・AE-200E:Ver.8.01 以前のバージョン
・AE-50J:Ver.8.01 以前のバージョン
・AE-50A:Ver.8.01 以前のバージョン
・AE-50E:Ver.8.01 以前のバージョン
・EW-50J:Ver.8.01 以前のバージョン
・EW-50A:Ver.8.01 以前のバージョン
・EW-50E:Ver.8.01 以前のバージョン
・TE-200A:Ver.8.01 以前のバージョン
・TE-50A:Ver.8.01 以前のバージョン
・TW-50A:Ver.8.01 以前のバージョン
・CMS-RMD-J:Ver.1.40 以前のバージョン
同社は、対策版ソフトウェアのリリース予定はないとした上で、ユーザー自身で、当該製品へのアクセスを信頼できるネットワークやホストに限定するなどの軽減策をとるよう案内。あわせて、一部の対象製品向けに、軽減策を強化するためのアップデートを提供するとしている。
