CRITICAL✓ PATCH🇬🇧 English

CVE-2026-33000

Command Injection w UniFi OS — podatność na wstrzyknięcie poleceń

CVSS 9.1v3.1pub. 2026-05-22upd. 2026-06-24

Podatność typu Improper Input Validation w urządzeniach UniFi OS umożliwia uwierzytelnionemu atakującemu z wysokimi uprawnieniami sieciowymi wykonanie command injection. Krytyczny wynik CVSS 9.1 oraz zakres oddziaływania wykraczający poza granice komponentu czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

A malicious actor with access to the network and high privileges could exploit an Improper Input Validation vulnerability found in UniFi OS devices to execute a Command Injection.

🤖 Analiza AI
Jak działa

Atakujący posiadający dostęp do sieci oraz wysokie uprawnienia w systemie może dostarczyć nieprawidłowo zweryfikowane dane wejściowe do podatnego komponentu UniFi OS. Brak odpowiedniej walidacji wejścia (CWE-20) pozwala na osadzenie w danych wejściowych złośliwych poleceń systemowych, które są następnie wykonywane przez urządzenie. Wektor ataku sieciowy (AV:N) oraz brak wymagania interakcji użytkownika (UI:N) oznaczają, że exploit może być przeprowadzony zdalnie i w pełni automatycznie.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu możliwość zdalnego wykonania dowolnych poleceń systemowych na urządzeniu (RCE), co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności i integralności danych oraz pozbawienia dostępu do usług (C:H/I:H/A:H). Zakres oddziaływania obejmuje zasoby wykraczające poza sam komponent (S:C), co zwiększa ryzyko lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dotyczące poprawionych wersji oprogramowania UniFi OS zawiera biuletyn bezpieczeństwa dostępny pod adresem: https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b

Kogo dotyczy

Urządzenia z systemem UniFi OS — konkretne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Ubiquiti Security Advisory Bulletin 064)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Ui Unifi Os Server

    APP
    Ui
    < 5.0.8
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-34908CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w UniFi OS — nieautoryzowane zmiany systemowe

CVE-2026-34909CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Path Traversal w UniFi OS — dostęp do plików systemowych i przejęcie konta

CVE-2026-34910CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Command Injection w UniFi OS via nieprawidłowa walidacja wejścia

CVE-2026-34911HIGH7.7ten sam produkt

A malicious actor with access to the network and low privileges could exploit a Path Traversal vulnerability f...

CVE-2010-5330CRITICAL9.8⚠ KEVten sam vendor

On certain Ubiquiti devices, Command Injection exists via a GET request to stainfo.cgi (aka Show AP info) beca...