Kritikus UniFi-sebezhetőségeket foltozott az Ubiquiti: érintett a Connect, Talk, Access, Protect és az OS

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

Az Ubiquiti frissítéseket adott ki több kritikus biztonsági sebezhetőségre, amelyek a UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect és a UniFi OS rendszereket érintik, és jogosultságkiterjesztéshez, illetve tetszőleges parancsok futtatásához vezethetnek.

A sebezhetőségek listája:

  • CVE-2026-50746 (CVSS pontszám: 10,0) – Helytelen hozzáférés-vezérlés sebezhetőség a UniFi Connect alkalmazásban. A hálózathoz hozzáférő támadó parancsbefecskendezést tud végrehajtani a host eszközön. (A 3.4.16-os és korábbi verziókat érinti; a javítás a 3.4.20-as verzióban jelent meg)
  • CVE-2026-50747 (CVSS pontszám: 9,9) – Hitelesítést igénylő SQL-befecskendezési sebezhetőségek sorozata a UniFi Talk alkalmazásban. A hálózathoz hozzáférő támadó ezekkel jogosultságot tud kiterjeszteni a host eszközön. (Az 5.1.2-es és korábbi verziókat érinti; a javítás az 5.2.2-es verzióban jelent meg)
  • CVE-2026-50748 (CVSS pontszám: 9,9) – Helytelen bemenetellenőrzési sebezhetőség a UniFi Access alkalmazásban. A hálózathoz hozzáférő támadó parancsbefecskendezést tud végrehajtani a host eszközön. (A 4.2.28-as és korábbi verziókat érinti; a javítás a 4.2.29-es verzióban jelent meg)
  • CVE-2026-54400 (CVSS pontszám: 9,1) – Helytelen hozzáférés-vezérlés sebezhetőség a UniFi Access alkalmazásban. A hálózathoz hozzáférő támadó jogosultságot tud kiterjeszteni a host eszközön. (A 4.2.28-as és korábbi verziókat érinti; a javítás a 4.2.29-es verzióban jelent meg)
  • CVE-2026-55115 (CVSS pontszám: 9,9) – Server-Side Request Forgery (SSRF) sebezhetőség a UniFi Protect alkalmazásban. A hálózathoz hozzáférő, alacsony jogosultságú támadó ezzel jogosultságot tud kiterjeszteni a host eszközön. (A 7.1.77-es és korábbi verziókat érinti; a javítás a 7.1.83-as verzióban jelent meg)
  • CVE-2026-54402 (CVSS pontszám: 9,9) – Helytelen bemenetellenőrzési sebezhetőség a UniFi OS-ben. A hálózathoz hozzáférő támadó parancsbefecskendezést tud végrehajtani a host eszközön. (Az 5.1.15-ös és korábbi verziókat érinti; a javítás az 5.1.19-es verzióban jelent meg)
  • CVE-2026-55116 (CVSS pontszám: 9,0) – Helytelen hozzáférés-vezérlés sebezhetőség a UniFi OS-ben. A hálózathoz hozzáférő támadó jogosulatlan módosításokat tud végezni bizonyos eszközökön. (Az 5.1.15-ös és korábbi verziókat érinti; a javítás az 5.1.19-es verzióban jelent meg)

Jelenleg nincs bizonyíték arra, hogy ezeket a hibákat aktívan kihasználnák, ugyanakkor a UniFi OS három másik sebezhetőségét (CVE-2026-34908, CVE-2026-34909 és CVE-2026-34910) a múlt hónapban az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) olyan hibaként jelölte meg, amelyeket már bevetettek valós támadásokban.

Orosz állami hátterű támadókat is megfigyeltek, amint feltört Ubiquiti Edge OS routereket vontak be egy botnetbe, amelyet rosszindulatú forgalom továbbítására használtak proxyként. A MooBot néven ismert botnetet 2024 februárjában számolták fel egy bűnüldöző hatósági akcióban.