Ubiquiti łata krytyczną lukę w UniFi Network (CVSS 10.0), która może prowadzić do przejęcia kontroli nad systemem zarządzania siecią. Zobacz, na czym polega problem i jak się zabezpieczyć.
Ubiquiti opublikowało poprawki dla dwóch poważnych podatności w aplikacji UniFi Network, w tym jednej o krytycznej ocenie CVSS 10,0. Luka ta mogła umożliwić atakującym dostęp do wrażliwych danych oraz potencjalne przejęcie kont użytkowników.
Krytyczna luka typu path traversal
Najpoważniejsza podatność, oznaczona jako CVE-2026-22557, dotyczy wersji UniFi Network 10.1.85 i wcześniejszych i została załatana w wersji 10.1.89 i nowszych.
Jest to błąd typu path traversal, który pozwala nieuwierzytelnionemu uzytkownikowi na:
- dostęp do wrażliwych plików systemowych,
- potencjalne uzyskanie informacji o użytkownikach,
- przejęcie kont w aplikacji.
Co istotne, podatność charakteryzuje się niską złożonością ataku, co dodatkowo zwiększa poziom ryzyka.
Druga luka: NoSQL injection i eskalacja uprawnień
Druga podatność, oznaczona jako CVE-2026-22558 (CVSS 7,7), to błąd typu NoSQL injection. W przeciwieństwie do pierwszej luki wymaga on uwierzytelnienia, jednak nadal stanowi istotne zagrożenie, ponieważ umożliwia użytkownikowi o ograniczonych uprawnieniach zwiekszenie swoich przywilejów oraz potencjalne przejęcie kontroli nad aplikacją UniFi Network.
Potencjalny wpływ na infrastrukturę sieciową
Aplikacja UniFi Network jest szeroko wykorzystywana do zarządzania infrastrukturą sieciową Ubiquiti, w tym punktami dostępowymi, przełącznikami oraz bramami sieciowymi. W praktyce oznacza to, że skuteczne wykorzystanie opisanych podatności mogłoby umożliwić atakującemu uzyskanie kontroli nad kluczowymi elementami sieci organizacji, a tym samym wpłynąć na jej bezpieczeństwo i ciągłość działania.
Rekomendacje dla administratorów
W związku z charakterem podatności zaleca się:
- natychmiastową aktualizację UniFi Network do wersji 10.1.89 lub nowszej,
- ograniczenie dostępu do panelu zarządzania wyłącznie z zaufanych sieci,
- weryfikację logów pod kątem podejrzanej aktywności,
- przegląd uprawnień użytkowników w systemie.
CVE-2026-22557 to krytyczna podatność, która – mimo braku potwierdzonych ataków – może stanowić realne zagrożenie dla organizacji korzystających z rozwiązań Ubiquiti.
W środowiskach, gdzie system zarządzania siecią stanowi centralny punkt kontroli infrastruktury, każda luka tego typu powinna być traktowana priorytetowo.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
