Kritické zraniteľnosti Ubiquiti UniFi OS

Ubiquiti vydala bezpečnostné aktualizácie pre UniFi OS, ktoré opravujú tri kritické zraniteľnosti CVE-2026-34908, CVE-2026-34909 a CVE-2026-34910. Tieto umožňujú vzdialeným útočníkom bez oprávnení vykonávať neautorizované zmeny v systéme, získať prístup k súborom alebo vykonávať príkazy. Zraniteľnosti ovplyvňujú široké spektrum zariadení vrátane UDM Pro, UDR, UNVR či UniFi OS Server.

Zraniteľné systémy:

• UniFi OS Server verzie 5.0.6 a staršej
• UCG-Industrial verzie 5.0.13 a staršej
• UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, Express 7, UNVR, UNVR-Pro, UNVR-Instant, ENVR, UCG-Ultra, UCG-Max a UCG-Fiber verzie 5.0.16 a staršej
• UDR-5G, ENVR-Core, UCKP, UCK a UCK-Enterprise verzie 5.0.17 a staršej
• UNVR-G2 a UNVR-G2-Pro verzie 5.1.11 a staršej
• UDM-Beast, UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 a UNAS-Pro-8 verzie 5.1.8 a staršej
• Express verzie 4.0.13 a staršej

Opis činnosti:

CVE-2026-33000 (CVSS skóre 9,1)

Kritická zraniteľnosť UniFi OS súvisí s nevhodnou kontrolou používateľských vstupov. Vzdialeným útočníkom s vysokými oprávneniami umožňuje injektovať príkazy.

CVE-2026-34908 (CVSS skóre 10,0)

Kritická zraniteľnosť UniFi OS súvisí s nevhodnou kontrolou prístupov. Vzdialeným útočníkom bez oprávnení umožňuje vykonávať neautorizované zmeny v systéme.

CVE-2026-34909 (CVSS skóre 10,0)

Kritická zraniteľnosť UniFi OS umožňuje prechádzať súborové cesty (path traversal). Vzdialeným útočníkom bez oprávnení umožňuje pristupovať ku súborom na hostiteľskom systéme.

CVE-2026-34910 (CVSS skóre 10,0)

Kritická zraniteľnosť UniFi OS súvisí s nevhodnou kontrolou používateľských vstupov. Vzdialeným útočníkom bez oprávnení umožňuje injektovať príkazy.

CVE-2026-34911 (CVSS skóre 7,7)

Zraniteľnosť vysokej závažnosti v UniFi OS umožňuje prechádzať súborové cesty (path traversal). Vzdialeným útočníkom s nízkymi oprávneniami umožňuje získať prístup k citlivým informáciám.

Možné škody:

• Vzdialené vykonávanie príkazov
• Únik citlivých informácií
• Nepovolená zmeny v systéme

Odporúčania:

Bezodkladná aktualizácia

• UniFi OS Server aspoň na verziu 5.0.8
• UCG-Industrial aspoň na verziu 5.1.12
• UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, Express 7, UNVR, UNVR-Pro, UNVR-Instant, ENVR, UCG-Ultra, UCG-Max a UCG-Fiber aspoň na verziu 5.1.12
• UDR-5G, ENVR-Core, UCKP, UCK a UCK-Enterprise aspoň na verziu 5.1.12
• UNVR-G2 a UNVR-G2-Pro aspoň na verziu 5.1.12
• UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 a UNAS-Pro-8 aspoň na verziu 5.1.10
• UDM-Beast aspoň na verziu 5.1.11
• Express aspoň na verziu 4.0.14

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2026-33000
• https://nvd.nist.gov/vuln/detail/CVE-2026-34908
• https://nvd.nist.gov/vuln/detail/CVE-2026-34909
• https://nvd.nist.gov/vuln/detail/CVE-2026-34910
• https://nvd.nist.gov/vuln/detail/CVE-2026-34911
• https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b
• https://www.bleepingcomputer.com/news/security/ubiquiti-patches-three-max-severity-unifi-os-vulnerabilities/