HackerNews 编译，转载请注明出处：

网络安全研究员Gjoko Krstic披露霍尼韦尔IQ4楼宇管理控制器存在高危漏洞，但厂商对严重性提出异议。

Krstic指出，该产品出厂默认配置未认证即暴露基于网页的人机界面。若配置不当且设置时未启用用户模块，远程攻击者可在合法用户前创建管理员账户，“有效锁定合法操作员的本地及网页端配置管理权限"。该漏洞可能影响学校、商业建筑等设施。

研究员于2025年12月向霍尼韦尔报告，但厂商拒绝发布补丁，称IQ4设计用于本地部署，不应暴露于互联网。"设备交付时未配置，由 trained 技术人员安装后才运行，"霍尼韦尔声明称，"所述场景仅可能在系统激活前的短暂安装阶段，或故意禁用安全设置时出现。此时设备无法监控或控制任何设备，不影响运营。"

Krstic反驳称发现近7500个互联网暴露实例，约20%无需认证即可访问，并否认厂商"未完全设置则无法控制设备"的说法："我遇到过未创建用户账户的安装环境，能够写入照明、温度等组件变更，关闭锅炉或制冷机。"

SecurityWeek确认大量IQ4界面实例暴露于互联网，但未核实其他说法。Krstic表示该漏洞CVE编号待分配，并已联系卡内基梅隆大学CERT协调中心介入调解。

...

HackerNews 编译，转载请注明出处：

...