[TLP:CLEAR] Ubiquiti UniFi opravuje 25 zraniteľností v rôznych produktoch
Ubiquiti opravuje 25 zraniteľností v rôznych UniFi produktoch [1], kritické zraniteľnosti sú popísané nižšie. Jednotlivé produkty a ich opravené verzie [1]: UniFi Connect Application - 3.4.20 UniFi Talk Application - 5.2.2 UniFi Access Application - 4.2.29 UniFi OS - 5.1.19 (výpis konkrétnych postihnutých zariadení dostupný na [1]) UniFi Network Application - 10.4.57 UniFi Protect Application - 7.1.83 UniFi Protect Floodlight - 1.13.6
Neautentizovanému vzdialenému útočníkovi je v UniFi Connect Application kvôli nedostatočnej kontrole prístupu umožnené vykonávať príkazy v zariadení [1].
Zraniteľnosť sa nachádza v produkte UniFi Connect Application vo verziách <3.4.20.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-50746 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 7. 2026.
Autentizovanému vzdialenému útočníkovi je v UniFi Talk Application umožnené zvýšiť svoje oprávnenia pomocou SQL injection útoku [1].
Zraniteľnosť sa nachádza v produkte UniFi Talk Application vo verziách <5.1.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-50747 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 7. 2026.
Autentizovanému vzdialenému útočníkovi je v UniFi Access Application v dôsledku nedostatočnej kontroly vstupu umožnené vykonávať príkazy [1].
Zraniteľnosť sa nachádza v produkte UniFi Access Application vo verziách <4.2.29.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-50748 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 7. 2026.
Autentizovanému vzdialenému útočníkovi je v UniFi OS v dôsledku nedostatočnej kontroly vstupu umožnené vykonávať príkazy v zariadení [1].
Zraniteľnosť sa nachádza v produkte UniFi OS vo verziách <5.1.19.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-54402 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 7. 2026.
Autentizovanému vzdialenému útočníkovi je v UniFi Protect Application vykonaním SSRF útoku umožnené zvýšiť svoje oprávnenia [1].
Zraniteľnosť sa nachádza v produkte UniFi Protect Application vo verziách <7.1.83.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-55115 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 7. 2026.
Za CESNET-CERTS Martin Krajči dňa 10. 7. 2026.