Kritische Angriffskette in UniFi OS Drei aktiv ausgenutzte CVSS-10.0-Schwachstellen in Ubiquiti UniFi OS

Anbieter zum Thema

FAST LTA GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Drei mit CVSS 10.0 bewertete Schwachstellen in Ubiquiti UniFi OS lassen sich ohne Anmeldung zu einer vollständigen Übernahme verketten. Die US-Behörde CISA stuft die Fehler als aktiv ausgenutzt ein und drängt auf sofortiges Patchen der betroffenen Geräte.

Der WLAN-Hardware-Anbieter Ubiquiti hat mit dem Security Advisory Bulletin 064 Korrekturen für mehrere Fehler in seinem Linux-basierten Management-System UniFi OS veröffentlicht. Drei davon hat HackerOne als CNA mit dem Maximalwert CVSS 3.1 von 10.0 eingestuft. Am 23.06.2026 nahm die CISA alle drei Kennungen in ihren Katalog bekannter ausgenutzter Schwachstellen auf und verpflichtete Bundesbehörden über die Binding Operational Directive 26-04 zur Korrektur bis zum 26.06.2026.

CVE-2026-20223 mit CVSS 10.0 in Cisco Secure Workload

Fehlende API-Authentifizierung gibt Angreifern Site-Admin-Rechte

Drei Maximalwertungen ergeben eine Angriffskette

CVE-2026-34908 beschreibt eine fehlerhafte Zugriffskontrolle (CWE-284) und erlaubt einem Angreifer mit Netzwerkzugang unautorisierte Änderungen am System. CVE-2026-34909 ist eine Path-Traversal-Lücke (CWE-22), über die sich Dateien des darunterliegenden Systems lesen und manipulieren lassen, bis hin zum Zugriff auf ein Systemkonto. CVE-2026-34910 beruht auf mangelhafter Eingabevalidierung (CWE-20) und mündet in einer Command Injection. Alle drei teilen denselben Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Der Angriff gelingt über das Netzwerk, bei geringer Komplexität, ohne Anmeldedaten und ohne Zutun eines Nutzers, mit vollem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit.

Die Kombination hebt den Schweregrad deutlich an. Ein Angreifer liest über die Path-Traversal-Lücke Zugangsdaten aus, verändert per Zugriffskontrollfehler die Konfiguration und führt über die Command Injection eigene Befehle aus. UniFi OS bildet die Basis für UniFi Network, Protect, Access und Talk und steht damit in der Management-Ebene vieler Standorte. Eine kompromittierte Konsole legt Gerätekonfiguration, Netztopologie und administrative Zugangsdaten der angeschlossenen Dienste offen.

CISA bestätigt aktive Angriffe auf LiteSpeed-cPanel-Plugin

Kritische LiteSpeed-Lücke mit CVSS 10.0 wird aktiv ausgenutzt

Auth-Gateway als Einstiegspunkt

Eine Analyse von Bishop Fox führt den Einstieg auf die Authentifizierungsprüfung des vorgelagerten nginx zurück. Der Gateway behandelt Anfragen, deren roher URI mit einem für öffentlich erklärten Präfix beginnt, als nicht prüfpflichtig. Zur Weiterleitung an das Backend normalisiert nginx den Pfad jedoch und löst dabei Prozent-Kodierungen und übergeordnete Verzeichnisangaben auf. So gelangt eine präparierte Anfrage an interne Endpunkte, die normalerweise eine Anmeldung verlangen. Über einen Endpunkt zur Paketaktualisierung führt der Pfad zur Ausführung von Befehlen mit Root-Rechten auf verwundbaren Versionsständen des UniFi OS Server. Bishop Fox bestätigte die Kette nach eigenen Angaben gegen eine aktive Installation der Version 5.0.6.

CVE-2024-42028 gefährdet selbst gehostete Server

Kritische Sicherheitslücke in Ubiquiti Unifi Network Server

CISA ordnet schnelles Handeln an

Die Aufnahme in den KEV-Katalog dokumentiert Belege für eine Ausnutzung im Feld. Eine Verbindung zu Ransomware-Operationen bestätigte die Behörde bislang nicht. Administratoren sollten die UniFi-OS-Version umgehend aktualisieren und den Zugriff auf Management-Schnittstellen auf vertrauenswürdige Netze begrenzen. Sinnvoll ist zudem eine Kontrolle auf neu angelegte Administratorkonten und unerwartete Konfigurationsänderungen seit dem 22.05.2026 sowie ein Abgleich sicherheitsrelevanter Systemdateien gegen einen bekannten Sollstand. Ein öffentlich verfügbarer Detektor von Bishop Fox prüft ohne Befehlsausführung, ob eine Konsole verwundbar ist.

Rückblick 2025

20 Prozent mehr ausgenutzte Schwach­stellen im KEV-Katalog der CISA

Fixed-Versionen nach Geräteklasse

Den Fehler behebt Ubiquiti im UniFi OS Server ab Version 5.0.8. Die Gateway- und Konsolen-Modelle, darunter UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, die UDR-Reihe, Express 7, die UNVR-Familie sowie die Cloud-Key- und Cloud-Gateway-Modelle, erhalten die Korrektur ab Firmware 5.1.12. Der UDM-Beast ist ab 5.1.11 abgesichert, die UNAS-Modelle ab 5.1.10. Für UniFi Express steht die Korrektur der Path-Traversal-Lücke ab Version 4.0.14 bereit. Neben den drei Höchstwertungen schließt das Bulletin weitere Fehler, darunter die authentifizierte Variante CVE-2026-33000 mit einem CVSS-Score von 9.1.

(ID:50882302)