Ubiquiti UniFi Network Application: Kritische Lücke erlaubt unbefugten Zugang

In Ubiquitis UniFi Network Application hat der Hersteller zwei Sicherheitslücken gemeldet. Eine davon gilt als kritisch mit Höchstwertung und erlaubt Angreifern aus dem Netz, sich unbefugt Zugriff auf Konten zu verschaffen. Ubiquiti stellt Aktualisierungen bereit.

Vor diesen Schwachstellen warnt Ubiquiti in einer Sicherheitsmitteilung. Aufgrund einer Path-Traversal-Lücke in UniFi Network Application – ehedem als UniFi Controller bekannt – können Angreifer mit Zugang zum Netzwerk Zugriff auf Dateien im darunterliegenden System erhalten und diese manipulieren, um Zugang zu einem ebenfalls darunterliegenden Konto zu erlangen (CVE-2026-22557, CVSS 10, Risiko „kritisch“). Genauere Details erörtert das Unternehmen nicht. Zudem können authentifizierte bösartige Akteure im Netzwerk eine NoSQL-Injection-Schwachstelle in der UniFi Network Application angreifen und dadurch ihre Rechte ausweiten (CVE-2026-22558, CVSS 7.7, Risiko „hoch“).

Die CVE-Schwachstelleneinträge sind noch reserviert, konkretere Informationen zu den Sicherheitslücken gibt es daher noch nicht. Admins sollten jedoch zügig die aktualisierten Softwarepakete auf ihren Instanzen anwenden, um die Angriffsfläche zu reduzieren.

UniFi Network Application: Fehlerkorrigierte Softwareversionen

Beide Sicherheitslücken schließen die Fassungen UniFi Network Application 10.1.89, 10.2.97 und die Firmware 4.0.13 für UniFi Express – was die enthaltene UniFi Network Application auf Stand  9.0.118 hievt – oder jeweils neuere Versionen. In den verlinkten Versionsankündigungen stellt Ubiquiti die Downloads der Updates zur Verfügung. Das Unternehmen empfiehlt dort zudem, auf UniFi OS Server für selbst gehostete Instanzen umzusteigen.

Zuletzt hatte Ubiquiti Anfang Januar eine Schwachstelle in der UniFi Protect Application ausgebessert. Sie ermöglichte Angreifern, unbefugt auf UniFi-Protect-Kameras zuzugreifen.

(dmk)