三菱电机空调系统漏洞允许无需用户交互的远程控制

三菱电机近期披露了一个影响27种不同空调系统型号的严重身份验证绕过漏洞，可能允许远程攻击者未经授权控制建筑物HVAC系统。漏洞编号为 CVE-2025-3699（9.8）。一旦被利用，恶意行为者就可以非法控制空调系统、访问敏感信息，甚至使用泄露的数据篡改固件。三菱电机建议实施多种缓解策略：限制来自不受信任来源的网络访问、限制对系统和连接基础设施的物理访问，以及计算机上维护更新的防病毒软件和网络浏览器。