Krytyczna podatność typu path traversal w aplikacji UniFi Network Application pozwala nieuwierzytelnionemu atakującemu z dostępem do sieci na odczytywanie plików z systemu operacyjnego hosta. Podatność uzyskała maksymalny wynik CVSS 10.0, co wskazuje na wyjątkowo wysokie ryzyko.
▸ Pokaż oryginał (EN)
A malicious actor with access to the network could exploit a Path Traversal vulnerability found in the UniFi Network Application to access files on the underlying system that could be manipulated to access an underlying account.
Atakujący z dostępem do sieci, w której działa UniFi Network Application, może wysyłać spreparowane żądania zawierające sekwencje path traversal (np. '../'), które umożliwiają wyjście poza dozwolony katalog aplikacji. W ten sposób możliwe jest odczytanie dowolnych plików systemu operacyjnego hosta. Pliki te mogą następnie zostać wykorzystane do uzyskania dostępu do kont systemowych lub innych zasobów chronionego środowiska.
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych plików systemowych, w tym plików konfiguracyjnych lub danych uwierzytelniających, co może prowadzić do przejęcia kont systemowych i dalszego kompromitowania środowiska.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach poprawionego oprogramowania dostępne są w biuletynie bezpieczeństwa Ubiquiti pod adresem: https://community.ui.com/releases/Security-Advisory-Bulletin-062-062/c29719c0-405e-4d4a-8f26-e343e99f931b
UniFi Network Application — wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Ubiquiti Advisory Bulletin-062)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H