Airleader Master压缩机控制器发现严重文件上传漏洞

INCIBE-CERT发现Airleader Master压缩机控制器严重文件上传漏洞

马德里，西班牙 – 2026年2月13日 – 西班牙国家网络安全研究所（INCIBE-CERT）发布安全警报，披露广泛应用于工业环境的Airleader Master压缩机控制器存在严重的无限制文件上传漏洞。若被利用，攻击者可上传恶意文件并执行任意代码，进而控制受影响的系统。

技术细节

该漏洞源于Airleader Master软件在文件上传验证机制上的不足。具备设备网络访问权限的攻击者可利用此缺陷上传并执行未经授权的文件，从而有可能控制压缩机控制器。尽管具体技术细节尚未完全公开，但因其对工业运营的潜在影响，该漏洞被评定为严重等级。

• 受影响产品：Airleader Master（压缩机控制器）
• 漏洞类型：无限制文件上传（Unrestricted File Upload）
• 潜在影响：远程代码执行（RCE）、未授权系统访问
• 披露来源：INCIBE-CERT（西班牙国家网络安全研究所）

影响分析

Airleader Master等工业控制系统（ICS）在制造、能源等关键行业中至关重要。成功利用该漏洞可能导致：

• 运营中断：未经授权修改压缩机设置或强制关机。
• 数据泄露：窃取敏感运营数据或知识产权。
• 横向移动：攻击者可在工业网络内进一步渗透其他系统。

鉴于Airleader Master在工业环境中的广泛应用，相关组织应立即评估风险并采取缓解措施。

安全团队建议

INCIBE-CERT建议采取以下措施降低风险：

1. 限制网络访问：仅允许可信网络访问Airleader Master设备。
2. 应用厂商补丁：密切关注Airleader官方渠道的安全更新，并立即部署。
3. 实施网络分段：将工业控制系统与企业网络隔离，减少攻击面。
4. 监控可疑活动：部署入侵检测/防御系统（IDS/IPS），监测异常文件上传或网络流量。
5. 审查访问控制：确保仅授权人员可与Airleader Master设备交互。

详细信息请参阅INCIBE-CERT安全公告。

本文为持续更新报道，相关信息将随进展补充。