Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Credenciales embebidas en productos de Mitsubishi Electric

Fecha de publicación 12/06/2026
Identificador
INCIBE-2026-419
Importancia
4 - Alta
Recursos Afectados

Múltiples modelos de equipos de aire acondicionado domésticos Mitsubishi Electric equipados con conectividad Wi-Fi:

  • Serie B: Modelos MSZ-BKR y MSZ-BXV.
  • Serie E: Modelos MSZ-EM y MSZ-EX.
  • Serie F: Modelos MSZ-FD, MSZ-FZ y MSZ-FZV.
  • Serie H / J / N: Modelos MSZ-HXV, MSZ-JXV y MSZ-NXV.
  • Serie R: Modelos MSZ-R y MSZ-RK.
  • Serie V / X: Modelos MSZ-VXV, MSZ-X, MSZ-XD y MSZ-XK.
  • Serie Z / Y: Modelos MSZ-ZD, MSZ-ZW, MSZ-ZXV y MSZ-ZY.
  • Unidades de Suelo / Consola (Prefijo MFZ):
    • Serie MFZ-KT
    • Serie MFZ-KW
  • Unidades de Pared (Prefijo MSZ):
    • Serie MSZ-AP
    • Serie MSZ-AY (una de las gamas más comunes actualmente)
    • Serie MSZ-BT
    • Serie MSZ-DA
    • Serie MSZ-EF (gama de diseño Kirigamine Zen)
    • Serie MSZ-FT
    • Serie MSZ-HR
    • Serie MSZ-LN (gama Kirigamine Style / diseño premium)
    • Serie MSZ-LZ
    • Serie MSZ-RW
    • Serie MSZ-RZ

Consultar el aviso del fabricante para obtener el listado completo de productos afectados.

Descripción

El investigador Zachary Mitev ha reportado una vulnerabilidad en Mitsubishi Electric de severidad alta que, en caso de ser explotada podría permitir a un atacante situado dentro del alcance de la red inalámbrica acceder al dispositivo afectado sin autorización, obteniendo información sensible, modificando parámetros de condifuración o provocando una denegación de servicio.

Solución

Mitsubishi Electric irá lanzando actualizaciones progresivamente para corregir la vulnerabilidad en sus diferentes productos, recomendamos comprobar el aviso del fabricante para saber exactamente en que fecha saldrá el parche de seguridad para tu dispositivo.

Como medidas adicionales, Mitsubishi Electric recomienda configurar  el equipo afectado con un router Wi-Fi siguiendo las instrucciones proporcionadas por el fabricante inmediatamente después de la instalación. Además se recomienda restringir el acceso físico y lógico a las redes inalámbricas donde se encuentren desplegados los dispositivos afectados, así como monitorizar accesos no autorizados a las mismas.

Detalle

CVE-2026-5667: vulnerabilidad de uso de credenciales embebidas que afecta a múltiples equipos de aire acondicionado domésticos de Mitsubishi Electric con funcionalidad Wi-Fi. Un atacante ubicado dentro del alcance de la red inalámbrica podría aprovechar la presencia de credenciales codificadas en el dispositivo para obtener acceso no autorizado cuando este se encuentre sin configurar o haya sido restaurado a valores de fábrica. La explotación de esta vulnerabilidad podría permitir la divulgación de información sensible, la modificación de la configuración del equipo o provocar una denegación de servicio (DoS).

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-5667 Alta No Mitsubishi Electric
Listado de referencias
Information Disclosure, Information Tampering, or Denial-of-Service (DoS) Vulnerability in Multiple Home Appliances
Etiquetas