A Ubiquiti UniFi OS Server három, már javított sérülékenységének láncolt kihasználásával hitelesítés nélkül, távoli kódfuttatás (RCE) érhető el rendszergazdai jogosultsággal az érintett rendszereken. A hibákat 2026 májusában javították, és a UniFi OS Server 5.0.6-os vagy korábbi verzióit érintik.

A sérülékenységeket az alábbi azonosítók alatt tartják nyilván:

• CVE-2026-34908: improper access control, ami lehetővé teheti jogosulatlan műveletek végrehajtását,
• CVE-2026-34909: path traversal sérülékenység, ami érzékeny fájlokhoz való jogosulatlan hozzáférést eredményezhet,
• CVE-2026-34910: command Injection sebezhetőség, amely lehetővé teszi parancsok végrehajtását az érintett rendszereken.

Bár mindhárom sérülékenység kritikus besorolást kapott, a Ubiquiti biztonsági közleménye nem tért ki arra, hogy a hibák együttes kihasználása teljes körű, hitelesítés nélküli távoli kódfuttatást is lehetővé tehet.

A Bishop Fox kutatói szerint a három sérülékenység láncolva olyan támadási forgatókönyvet eredményezhet, amelynek során a támadó hitelesítés nélkül érhet el magas jogosultságú kódfuttatást. A kutatók a teljes támadási láncot egy UniFi OS Server 5.0.6 rendszeren validálták.

A vizsgálatok alapján a kezdeti hozzáférést követően a támadó további jogosultságokat szerezhet, ami végső soron rendszergazdai (root) szintű hozzáféréshez vezethet. A Bishop Fox szerint ehhez nincs szükség érvényes hitelesítő adatokra, felhasználói interakcióra vagy előzetes rendszerhozzáférésre. A kutatók ugyan igazolták a támadási lánc működőképességét, azonban részletes kihasználási útmutatót és működő proof-of-concept (PoC) kódot nem hoztak nyilvánosságra.

Ugyanakkor a Bishop Fox közzétett egy ingyenesen használható detektáló eszközt, amely segít megállapítani, hogy egy rendszer érintett lehet-e a sérülékenységek által. Az eszköz biztonságos ellenőrzést végez, nem hajt végre káros műveleteket, és az eredmény alapján a rendszert „sebezhető”, „javított”, „nem érintett” vagy „nem egyértelmű” kategóriába sorolja. Fontos azonban tisztában lenni azzal, hogy a detektáló eszköz nem alkalmas korábbi kompromittálás, aktív támadói jelenlét, illetve perzisztencia-mechanizmusok vagy backdoor-ok azonosítására.

A védekezés részeként a biztonsági szakembereknek érdemes fokozott figyelmet fordítaniuk az érintett szolgáltatásokhoz kapcsolódó naplóbejegyzésekre, a szokatlan folyamatindításokra, valamint az indokolatlan jogosultság-emelési műveletekre. A rendszer- és alkalmazásnaplók rendszeres elemzése segíthet a gyanús tevékenységek azonosításában.

A Bishop Fox megerősítette, hogy a vizsgált támadási lánc nem működik a UniFi OS Server 5.0.8-as verzióján, ezért a felhasználóknak haladéktalanul legalább erre, vagy ennél újabb verzióra ajánlott frissíteniük rendszereiket. Ugyanakkor a szervezeteknek érdemes ellenőrizniük, hogy a frissítés egy esetlegesen már kompromittált rendszerre kerül-e telepítésre.