heise PlusAbo
Anzeige
Alert!

Ubiquiti UniFi Play: Codeschmuggel in Audiosystem möglich

Die High-End-Audio-Streaming-Lösung Ubiquiti UniFi Play weist eine kritische Sicherheitslücke auf, durch die Angreifer Schadcode ausführen können.

vorlesen Druckansicht
Ubiquiti UniFi Play PowerAmps mit Achtung-Schild vor Matrix-Regen-Hintergrund

(Bild: heise medien / Ubiquiti)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In UniFi-Play-Netzen mit Ubiquiti UniFi High-End-Audiogeräten können Angreifer eine Sicherheitslücke missbrauchen, um Schadcode einzuschleusen und auszuführen. Aktualisierte Firmware steht bereit, um die Schwachstelle auszubessern.

Gleich fünf Sicherheitslücken listet die Sicherheitsmeldung von Ubiquiti aus der vergangenen Woche auf. Die zugehörigen Schwachstelleneinträge wurden jedoch erst in der Nacht zum Dienstag veröffentlicht. Drei als kritisch eingestufte Lücken sind am gravierendsten: Als erstes eine Path-Traversal-Lücke in der Firmware von UniFi Play PowerAmp und Audio Port, die Angreifer im gleichen Netzwerk zum Schreiben von Dateien im System missbrauchen können. Damit können sie auch Schadcode einschleusen und ausführen (CVE-2026-22562, CVSS 9.8, Risiko „kritisch“). Außerdem können Angreifer mit Zugriff auf das UniFi-Play-Netzwerk eine unzureichende Prüfung von Eingaben zum Einschleusen von Befehlen missbrauchen (CVE-2026-22563, CVSS 9.8, Risiko „kritisch“).

Ubiquiti UniFi Play: Weitere Sicherheitslücken

Das dritte kritische Sicherheitsleck beruht auf unzureichenden Zugriffskontrollen und ermöglicht bösartigen Akteuren mit Zugriff auf das UniFi-Play-Netz, SSH dazu zu bringen, unbefugte Änderungen am System vorzunehmen (CVE-2026-22564, CVSS 9.8, Risiko „kritisch“). Eine unzureichende Prüfung von Eingaben kann zudem dazu führen, dass Angreifer Geräte dazu bringen, nicht mehr zu reagieren (CVE-2026-22565, CVSS 7.5, Risiko „hoch“). Aufgrund unzulänglicher Zugriffskontrollen können sich bösartige Akteure mit Zugriff auf das UniFi-Play-Netz zudem WLAN-Zugangsdaten verschaffen (CVE-2026-22566, CVSS 7.5, Risiko „hoch“).

Videos by heise

Die Sicherheitslücken betreffen UniFi Play PowerAmp 1.0.35 sowie UniFi Play Audio Port 1.0.24 und vorherige. Die Aktualisierung auf Update UniFi Play PowerAmp Version 1.0.38 sowie Update UniFi Play Audio Port Version 1.1.9 oder jeweils neuere korrigiert die zugrundeliegenden Fehler.

Mitte März wurde zuletzt eine Sicherheitslücke in Ubiquitis UniFi Network Application bekannt. Angreifer konnten sich dadurch unbefugt Zugang verschaffen.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten