Ubiquitiはネットワークハードウェアを統制するための一流のアーキテクチャであるUniFi Network Application内の二組の脆弱性を修正するための緊急パッチを公布しました。
CVE-2026-22557として指定されたこの主要な脆弱性のCVSSスコアは10中10です。この異常はディレクトリパスの誤ったパースに由来します。ネットワークアクセスのみを付与された攻撃者はシステムアーカイブを盗み、それらを利用してアカウントに対する絶対的な支配権を奪取できます。
2026年3月18日より前にリリースされたUniFi Network Applicationのすべてのバージョンが危険にさらされています。インターネット全体に公開されているインストールに対する最も深刻な危険があります。開発者は管理者に対し、安定版リリースと実験的ビルドの両方を迅速に更新し、同時に本質的に強化されたパーミュテーションを含むUniFi Express ファームウェアをデプロイすることを強く奨めています。
CVE-2026-22558という識別子を持つ補助的な脆弱性は、7.7の深刻度を有しており、NoSQLインジェクション欠陥と密接に関連しています。その悪用には事前の認証が必要です。しかし、閾値を突破すると、悪意のある者は昇格された権限を獲得し、支配されたアーキテクチャに対する主権的制御を指数関数的に拡大できます。
UniFi Network Applicationは、国内ラボの愛好家とエリート実践者の両者から広範な支持を得ています。アーキテクチャがLinux、Windows、macOS、またはDockerコンテナ内でインスタンス化できるという能力は、潜在的に侵害される可能性のある環境の多様性を大幅に増加させます。
これらの重要な更新のデプロイが遅延している間に迫りくる危険を軽減するために、Ubiquitiは主権的でセルフホストされた構成に向けてUniFi OS Serverへの移行を推奨しています。このプラットフォームはUniFiアーセナル全体をシームレスに統合し、最新の保護機構の取得を合理化します。
公式発表は、企業がこれらの脆弱性を利用した実際の攻撃を目撃したかどうかを明らかにしていません。脆弱性があると判断されるのは、安定版ラインで10.1.85より前のUniFi Network Applicationのバージョン、実験的バリアント間で10.2.93より前のもの、およびUniFi Expressデバイス上の9.0.114より前のバージョンです。
翻訳元: https://meterpreter.org/unifi-under-siege-ubiquiti-issues-emergency-fix-for-cvss-10-vulnerability/
