Ubiquiti herstelt kritieke UniFi-fouten in Connect, Talk, Access, Protect en OS

Ubiquiti heeft updates uitgebracht om meerdere kritieke beveiligingsfouten aan te pakken die van invloed zijn op UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect en UniFi OS en die kunnen resulteren in escalatie van bevoegdheden en het uitvoeren van willekeurige opdrachten.

De lijst met kwetsbaarheden is als volgt:

  • CVE-2026-50746 (CVSS-score: 10,0) – Een kwetsbaarheid voor onjuiste toegangscontrole in de UniFi Connect-applicatie die een aanvaller met toegang tot het netwerk zou kunnen misbruiken om een ​​opdrachtinjectie op het hostapparaat uit te voeren. (Beïnvloedt versies 3.4.16 en eerder; opgelost in versie 3.4.20)
  • CVE-2026-50747 (CVSS-score: 9,9) – Een reeks geverifieerde SQL-injectiekwetsbaarheden in UniFi Talk Application die een aanvaller met toegang tot het netwerk zou kunnen misbruiken om bevoegdheden op het hostapparaat te escaleren. (Beïnvloedt versies 5.1.2 en eerder; opgelost in versie 5.2.2)
  • CVE-2026-50748 (CVSS-score: 9,9) – Een onjuiste invoervalidatiekwetsbaarheid in de UniFi Access-toepassing die een aanvaller met toegang tot het netwerk zou kunnen misbruiken om een ​​opdrachtinjectie op het hostapparaat uit te voeren. (Beïnvloedt versies 4.2.28 en eerder; opgelost in versie 4.2.29)
  • CVE-2026-54400 (CVSS-score: 9.1) – Een onjuiste toegangscontrolekwetsbaarheid in de UniFi Access Application die een aanvaller met toegang tot het netwerk zou kunnen misbruiken om bevoegdheden op het hostapparaat te escaleren. (Beïnvloedt versies 4.2.28 en eerder; opgelost in versie 4.2.29)
  • CVE-2026-55115 (CVSS-score: 9,9) – Een Server-Side Request Forgery (SSRF)-kwetsbaarheid in de UniFi Protect-applicatie die een aanvaller met toegang tot het netwerk en lage rechten zou kunnen misbruiken om de rechten op het hostapparaat te escaleren. (Beïnvloedt 7.1.77 en eerder; opgelost in versie 7.1.83)
  • CVE-2026-54402 (CVSS-score: 9,9) – Een onjuiste invoervalidatiekwetsbaarheid in UniFi OS die een aanvaller met toegang tot het netwerk zou kunnen misbruiken om een ​​opdrachtinjectie op het hostapparaat uit te voeren. (Beïnvloedt versies 5.1.15 en eerder; opgelost in versie 5.1.19)
  • CVE-2026-55116 (CVSS-score: 9,0) – Een kwetsbaarheid voor onjuiste toegangscontrole in UniFi OS die een aanvaller met toegang tot het netwerk kan misbruiken om ongeoorloofde wijzigingen aan bepaalde apparaten aan te brengen. (Beïnvloedt versies 5.1.15 en eerder; opgelost in versie 5.1.19)

Hoewel er geen bewijs is dat de fouten in het wild zijn uitgebuit, werd een reeks van drie kwetsbaarheden in UniFi OS (CVE-2026-34908, CVE-2026-34909 en CVE-2026-34910) vorige maand door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) gemarkeerd als wapen bij echte aanvallen.

Er is ook waargenomen dat door de Russische staat gesponsorde dreigingsactoren gecompromitteerde Ubiquiti Edge OS-routers in een botnet hebben opgenomen dat is ontworpen om kwaadaardig verkeer te proxyen. Het botnet, genaamd MooBot, werd in februari 2024 tijdens een wetshandhavingsoperatie geveld.

Thijs Van der Does