Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en productos de Mitsubishi Electric

Fecha de publicación 26/06/2025
Identificador
INCIBE-2025-0343
Importancia
5 - Crítica
Recursos Afectados
  • G-50: versiones 3.37 y anteriores;
  • G-50-W: versiones 3.37 y anteriores;
  • G-50A: versiones 3.37 y anteriores;
  • GB-50: versiones 3.37 y anteriores;
  • GB-50A: versiones 3.37 y anteriores;
  • GB-24A: versiones 9.12 y anteriores;
  • G-150AD: versiones 3.21 y anteriores;
  • AG-150A-A: versiones 3.21 y anteriores;
  • AG-150A-J: versiones 3.21 y anteriores;
  • GB-50AD: versiones 3.21 y anteriores;
  • GB-50ADA-A: versiones 3.21 y anteriores;
  • GB-50ADA-J: versiones 3.21 y anteriores;
  • EB-50GU-A: versiones 7.11 y anteriores;
  • EB-50GU-J: versiones 7.11 y anteriores;
  • AE-200J: versiones 8.01 y anteriores;
  • AE-200A: versiones 8.01 y anteriores;
  • AE-200E: versiones 8.01 y anteriores;
  • AE-50J: versiones 8.01 y anteriores;
  • AE-50A: versiones 8.01 y anteriores;
  • AE-50E: versiones 8.01 y anteriores;
  • EW-50J: versiones 8.01 y anteriores;
  • EW-50A: versiones 8.01 y anteriores;
  • EW-50E: versiones 8.01 y anteriores;
  • TE-200A: versiones 8.01 y anteriores;
  • TE-50A: versiones 8.01 y anteriores;
  • TW-50A: versiones 8.01 y anteriores;
  • CMS-RMD-J: versiones 1.40 y anteriores.
Descripción

Mihály Csonka ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante eludir la autenticación y luego controlar los sistemas ilegalmente o revelar información en ellos. Además, el atacante también podría potencialmente manipular el firmware de los productos afectados utilizando la información revelada.

Solución

No hay planes para lanzar una versión corregida, por lo que Mitsubishi Electric recomienda aplicar una serie de medidas de mitigación, las cuales pueden encontrarse en el aviso de las referencias. Mitsubishi Electric está preparando actualmente versiones mejoradas para varios de los productos afectados con el objetivo de mitigar esta vulnerabilidad.

Detalle

Existe una vulnerabilidad de omisión de autenticación en los sistemas de aire acondicionado de Mitsubishi Electric. Un atacante puede saltarse la autenticación y luego controlar los sistemas de aire acondicionado ilegalmente, o revelar información en ellos explotando esta vulnerabilidad. Además, el atacante puede manipular el firmware de los productos afectados utilizando la información revelada.
Se ha asignado el identificador CVE-2025-3699 para esta vulnerabilidad.

Listado de referencias
Authentication Bypass Vulnerability in Multiple Air Conditioning Systems
ICSA-25-177-01 - Mitsubishi Electric Air Conditioning Systems
Etiquetas