CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-34908

Nieprawidłowa kontrola dostępu w UniFi OS — nieautoryzowane zmiany systemowe

CVSS 10.0v3.1pub. 2026-05-22upd. 2026-06-24

Podatność klasy Improper Access Control (CWE-284) w urządzeniach UniFi OS umożliwia atakującemu z dostępem do sieci wprowadzenie nieautoryzowanych zmian w systemie. Ocena CVSS 10.0 wskazuje na krytyczny poziom zagrożenia przy braku jakichkolwiek wymagań wstępnych po stronie atakującego.

Pokaż oryginał (EN)

A malicious actor with access to the network could exploit an Improper Access Control vulnerability found in UniFi OS devices to make unauthorized changes to the system.

🤖 Analiza AI
Jak działa

Atakujący posiadający dostęp do sieci, w której działają urządzenia UniFi OS, może wykorzystać błędnie zaimplementowaną kontrolę dostępu do wykonywania operacji systemowych bez wymaganego uwierzytelnienia lub autoryzacji. Podatność nie wymaga interakcji użytkownika ani specjalnych uprawnień, a jej zasięg obejmuje komponenty wykraczające poza bezpośrednio atakowany system (zakres zmienny — Scope: Changed). Wektor sieciowy i brak wymagań wstępnych sprawiają, że exploit jest stosunkowo łatwy do przeprowadzenia z poziomu sieci lokalnej lub potencjalnie szerszego zasięgu.

Skutki

Atakujący może dokonać nieautoryzowanych zmian w konfiguracji lub działaniu systemu UniFi OS, co może prowadzić do naruszenia poufności, integralności oraz dostępności urządzenia i obsługiwanej przez nie infrastruktury sieciowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe wersje poprawek dostępne są w komunikacie bezpieczeństwa Ubiquiti: https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b

Kogo dotyczy

Urządzenia z systemem UniFi OS — szczegółowe informacje o dotkniętych wersjach wskazane są w referencjach producenta (Security Advisory Bulletin 064)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Ui Enterprise Fortress Gateway

    HW
    Ui
    wszystkie wersje
  • Ui Enterprise Fortress Gateway Firmware

    OS
    Ui
    < 5.1.12
  • Ui Enterprise Network Video Recorder

    HW
    Ui
    wszystkie wersje
  • Ui Enterprise Network Video Recorder Core

    HW
    Ui
    wszystkie wersje
  • Ui Enterprise Network Video Recorder Core Firmware

    OS
    Ui
    < 5.1.12
  • Ui Enterprise Network Video Recorder Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unas 2

    HW
    Ui
    wszystkie wersje
  • Ui Unas 2 Firmware

    OS
    Ui
    < 5.1.10
  • Ui Unas 4

    HW
    Ui
    wszystkie wersje
  • Ui Unas 4 Firmware

    OS
    Ui
    < 5.1.10
  • Ui Unas Pro

    HW
    Ui
    wszystkie wersje
  • Ui Unas Pro 4

    HW
    Ui
    wszystkie wersje
  • Ui Unas Pro 4 Firmware

    OS
    Ui
    < 5.1.10
  • Ui Unas Pro 8

    HW
    Ui
    wszystkie wersje
  • Ui Unas Pro 8 Firmware

    OS
    Ui
    < 5.1.10
  • Ui Unas Pro Firmware

    OS
    Ui
    < 5.1.10
  • Ui Unifi Cloud Gateway Fiber

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloud Gateway Fiber Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unifi Cloud Gateway Industrial

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloud Gateway Industrial Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unifi Cloud Gateway Max

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloud Gateway Max Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unifi Cloud Gateway Ultra

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloud Gateway Ultra Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unifi Cloudkey

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloudkey Enterprise

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloudkey Enterprise Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unifi Cloudkey Firmware

    OS
    Ui
    < 5.1.12
  • Ui Unifi Cloud Key Plus

    HW
    Ui
    wszystkie wersje
  • Ui Unifi Cloud Key Plus Firmware

    OS
    Ui
    < 5.1.12

CISA KEV — szczegółyi

Dostawcai
Ubiquiti
Produkti
UniFi OS
Data dodania do KEVi
23 czerwca 2026
Termin remediation (USA)i
26 czerwca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność ze wskazówkami CISA dotyczącymi BOD 26-04 Prioritizing Security Updates Based on Risk (patrz URL w Uwagach) oraz CISA "Forensics Triage Requirements" (patrz URL w Uwagach). Postępuj zgodnie z odpowiednimi wskazówkami BOD 26-04 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji internetowej każdego zasobu oraz zapewnienie zgodności z wytycznymi dotyczącymi stosowania poprawek BOD 26-04.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.

Opis CISAi

Ubiquiti UniFi OS zawiera lukę w kontroli dostępu, która pozwala złośliwemu aktorowi z dostępem do sieci na dokonanie nieautoryzowanych zmian w systemie.

tłumaczenie AI
Pokaż oryginał (EN)

Ubiquiti UniFi OS contains an improper access control vulnerability which could allow a malicious actor with access to the network to make unauthorized changes to the system.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 26 czerwca 2026
CWE
Referencje

Powiązane podatności

CVE-2026-34910CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Command Injection w UniFi OS via nieprawidłowa walidacja wejścia

CVE-2026-34909CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Path Traversal w UniFi OS — dostęp do plików systemowych i przejęcie konta

CVE-2026-33000CRITICAL9.1PL ✓ten sam produkt

Command Injection w UniFi OS — podatność na wstrzyknięcie poleceń

CVE-2023-24104CRITICAL9.8ten sam produkt

Ubiquiti Networks UniFi Dream Machine Pro v7.2.95 allows attackers to bypass domain restrictions via crafted p...

CVE-2026-34911HIGH7.7ten sam produkt

A malicious actor with access to the network and low privileges could exploit a Path Traversal vulnerability f...