Ubiquiti opravila kritické zraniteľnosti v UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect a UniFi OS

Spoločnosť Ubiquiti vydala bezpečnostné aktualizácie, ktoré riešia 25 kritických a vysoko závažných bezpečnostných zraniteľností ovplyvňujúcich UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect a UniFi OS. Kritické chyby umožňujú eskaláciu privilégií a vykonávanie ľubovoľných príkazov.

Zraniteľné systémy:

  • UniFi Connect  3.4.16 a staršie
  • UniFi Talk 5.1.2 a staršie
  • UniFi Access 4.2.28 a staršie
  • UniFi OS Server, UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, UDM-Beast, EFG, UDW, UDR, UDR7, UDR-5G, Express 7, UCK, UCKP, UCK-Enterprise, UNVR, UNVR-Pro, UNVR-Instant, ENVR, ENVR-Core, UNVR-G2, UNVR-G2-Pro, UCG-Ultra, UCG-Max, UCG-Industrial a UCG-Fibe 5.1.15 a staršie
  • UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 a UNAS-Pro-8 5.1.16 a staršie
  • EF-Core 5.1.18 a staršie
  • UniFi Protect 7.1.77 a staršie

Opis zraniteľností:

CVE-2026-50746 (CVSS skóre 10,0)

Kritická zraniteľnosť v aplikácii UniFi Connect. Vzniká v dôsledku nedostatočného riadenia prístupov. Útočník s prístupom do siete ju môže zneužiť na vykonanie príkazov na hostiteľskom systéme.

CVE-2026-50747 (CVSS skóre 9,9)

Kritická zraniteľnosť v aplikácii UniFi Talk. Séria chýb zabezpečenia typu SQL injection umožňuje autentifikovanému útočníkovi s prístupom do siete eskalovať oprávnenia na hostiteľskom systéme.

CVE-2026-50748 (CVSS skóre 9,9)

Kritická zraniteľnosť v aplikácii UniFi Access. Nedostatočné overovanie vstupov umožňuje útočníkovi s prístupom do siete vykonávať príkazy na hostiteľskom systéme.

CVE-2026-54400  (CVSS skóre 9,1)

Kritická zraniteľnosť v aplikácii UniFi Access. Nedostatočné riadenie prístupov umožňuje útočníkovi s prístupom do siete eskalovať oprávnenia na hostiteľskom systéme.

CVE-2026-55115 (CVSS skóre 9,9)

Kritická zraniteľnosť v aplikácii UniFi Protect. Zraniteľnosť typu Server-Side Request Forgery (SSRF) umožňuje útočníkovi s prístupom do siete a nízkymi oprávneniami eskalovať oprávnenia na hostiteľskom systéme.

CVE-2026-54402 (CVSS skóre 9,9)

Kritická zraniteľnosť v systéme UniFi OS. Nedostatočné overovanie vstupov umožňuje útočníkovi s prístupom do siete vykonávať príkazy na hostiteľskom systéme.

CVE-2026-55116 (CVSS skóre 9,0)

Kritická zraniteľnosť v systéme UniFi OS. Nedostatočné riadenie prístupov umožňuje útočníkovi s prístupom do siete vykonať neoprávnené zmeny na dotknutých zariadeniach.

Spoločnosť Ubiquiti opravila aj ďalších 18 vysoko závažných zraniteľností v spomenutých produktoch. Tieto chyby zabezpečenia umožňujú útočníkom zvýšiť svoje oprávnenia, obísť autentifikáciu, spôsobiť nedostupnosť aplikácie, ukradnúť používateľskú reláciu, prechádzať priečinkami a pristupovať ku súborom.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia oprávnení
  • Obídenie bezpečnostných prvkov
  • Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia zasiahnutých produktov UniFi aspoň na:

  • UniFi Connect, verzia 3.4.20
  • UniFi Talk, verzia 5.2.2
  • UniFi Access, verzia 4.2.29
  • UniFi OS Server, UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, UDM-Beast, EFG, UDW, UDR, UDR7, UDR-5G, Express 7, UCK, UCKP, UCK-Enterprise, UNVR, UNVR-Pro, UNVR-Instant, ENVR, ENVR-Core, UNVR-G2, UNVR-G2-Pro, UCG-Ultra, UCG-Max, UCG-Industrial and UCG-Fibe, verzia 5.1.19
  • UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 and UNAS-Pro-8, verzia 5.1.19
  • EF-Core, verzia 5.1.19
  • UniFi Protect, verzia 7.1.83

Zdroje: