Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Denegación de servicio en productos de la serie MELSEC iQ-F de Mitsubishi Electric

Fecha de publicación 18/06/2026
Identificador
INCIBE-2026-438
Importancia
4 - Alta
Recursos Afectados

Los siguientes productos de la serie MELSEC iQ-F:

  • FX5-EIP EtherNet/IP Module FX5-EIP, versión 1.000 y anteriores;
  • FX5-ENET/IP Ethernet Module FX5-ENET/IP, todas las versiones.
Descripción

Mitsubishi ha publicado 2 avisos de seguridad donde informan, en cada uno de ellos, de 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podría provocar una denegación de servicio en el dispositivo.

Solución

Para el producto FX5-EIP EtherNet/IP Module FX5-EIP, actualizarlo a la versión 1.001 o posterior.

Para el producto FX5-ENET/IP Ethernet Module FX5-ENET/IP el fabricante no va a lanzar una nueva versión. Como soluciones alternativas se propone:

  • Opción A) Migrar a FX5-EIP EtherNet/IP Module FX5-EIP
  • Opción B) Aplicar las siguientes medidas de mitigación para reducir el riesgo de verse afectados por esta vulnerabilidad:
    • Utilice un cortafuegos, red privada virtual (VPN), etc., para prevenir el acceso no autorizado cuando sea necesario acceder a Internet.
    • Utilice este dispositivo desde una LAN y bloquee el acceso desde redes y host que no sean de confianza.
    • Utilice la función de filtrado de IP en el producto afectado para bloquear el acceso de host no confiables.
    • Restrinja el acceso físico al producto afectado y a los PCs y dispositivos de red a los que está conectado.
    • Instale un antimalware en los PCs que accedan al producto afectado.
Detalle
  • CVE-2026-8805: la vulnerabilidad es de tipo desbordamiento de entero o envolvente y se encuentra en la función EtherNet/IP. Un atacante en remoto puede provocar una condición de denegación de servicio (DoS) en el producto afectado al establecer rápidamente una gran cantidad de conexiones TCP que dirijan a él, lo que provocar una inconsistencia en el gestor interno de conexiones del producto y generando un acceso no adecuado a la memoria.
  • CVE-2026-8806: un atacante en remoto puede provocar una condición de denegación de servicio (DoS) en el producto afectado al enviar en un corto periodo de tiempo una gran cantidad de paquetes de comunicación al puerto Ethernet del producto, lo que incrementa su carga de procesamiento y evita que se ejecute del procesamiento interno de detecciones de anomalías, lo que hace que la función se pare.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-8805 Alta No Mitsubishi Electric
CVE-2026-8806 Alta No Mitsubishi Electric
Listado de referencias
Mitsubishi Electric - Denial-of-service (DoS) vulnerability in MELSEC iQ-F Series EtherNet/IP module
Mitsubishi Electric - Denial-of-service (DoS) vulnerability in MELSEC iQ-F Series FX5-ENET/IP Ethernet module
CISA (ICSA-26-169-05) - Mitsubishi Electric MELSEC iQ-F Series
CISA (ICSA-26-169-06) - Mitsubishi Electric Co.'s MELSEC iQ-F Series FX5-ENET/IP Ethernet Module
Etiquetas