三菱电机产品曝重大漏洞，工业系统面临严峻安全风险

三菱电机产品受多个重大漏洞影响

西班牙马德里 – 2026年1月8日 – 西班牙国家网络安全研究所（INCIBE）发布紧急安全公告，警告三菱电机（Mitsubishi Electric）工业自动化产品存在多个高危漏洞。若被利用，这些漏洞可能导致远程代码执行（RCE）、拒绝服务（DoS）攻击，以及对运营技术（OT）系统的未授权访问。

漏洞技术细节

受影响的三菱电机产品包括：

• GX Works3（CVE-2026-XXXX, CVE-2026-XXXX）
• MELSEC iQ-R系列（CVE-2026-XXXX）
• MELSEC iQ-F系列（CVE-2026-XXXX）

主要技术细节如下：

• CVE-2026-XXXX（CVSS 9.8）：GX Works3中的缓冲区溢出漏洞，攻击者无需认证即可远程执行任意代码。
• CVE-2026-XXXX（CVSS 8.6）：MELSEC iQ-R系列中的输入验证不当漏洞，可能导致DoS攻击，中断工业流程。
• CVE-2026-XXXX（CVSS 7.5）：MELSEC iQ-F系列中的身份验证绕过漏洞，可能允许未授权访问敏感配置。

这些漏洞源于受影响软件和固件中存在的输入验证不当、内存损坏及身份验证机制薄弱等问题。

影响分析

这些漏洞的利用可能对工业环境造成严重风险，包括：

• 运营中断：成功的DoS攻击可能导致关键制造或基础设施流程停滞。
• 未授权控制：RCE漏洞可能允许攻击者操控工业设备，导致安全隐患或生产破坏。
• 数据泄露：身份验证绕过漏洞可能暴露敏感OT配置或专有工业数据。

由于三菱电机产品广泛应用于制造、能源及水处理等行业，这些漏洞可能对供应链和关键基础设施产生连锁影响。

缓解建议

INCIBE和三菱电机敦促相关组织立即采取行动：

1. 应用补丁：将受影响产品更新至三菱电机提供的最新固件版本。补丁链接请参阅官方公告。
2. 网络隔离：将OT系统与企业网络及互联网隔离，限制暴露面。
3. 监测漏洞利用：部署入侵检测/防御系统（IDS/IPS），监测针对易受攻击设备的异常流量。
4. 最小权限访问：限制用户权限，最大程度降低身份验证绕过攻击的潜在危害。
5. 事件响应规划：通过审查和更新OT专用事件响应协议，为潜在入侵做好准备。

本报道持续更新，更多信息公布后将及时补充。