[TLP:CLEAR] Ubiquiti opravuje 3 zranitelnosti
Ubiquiti verzemi 6.2.72 a 1.6.1 opravuje 3 zranitelnosti v produktech UniFi Protect Application a UniFi Connect EV Station Lite [1][2].
Neautentizovanému útočníkovi v lokální síti je umožněno získat neoprávněný přístup k zařízení UniFi Protect Camera zneužitím zranitelnosti v discovery protokolu produktu UniFi Protect Application [1].
Zranitelnost se nachází v produktu UniFi Protect Application ve verzích >=6.1.79 AND <6.2.72.
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-21633 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 1. 2026.
Neautentizovanému útočníkovi v lokální síti je umožněno vyvolat přetečení v discovery protokolu produktu UniFi Protect Application a způsobit tak jeho restart [1].
Zranitelnost se nachází v produktu UniFi Protect Application ve verzích >=6.1.79 AND <6.2.72.
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2026-21634 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 1. 2026.
Neautentizovanému útočníkovi v dosahu Wi-Fi zařízení EV Station Lite je umožněno zneužít funkci WiFi AutoLink i vůči zařízení, které bylo do systému přidáno pouze prostřednictvím Ethernetu [2].
Zranitelnost se nachází v produktu UniFi Connect EV Station Lite ve verzích <1.6.1.
CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-21635 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 1. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 6. 1. 2026.
