Las vulnerabilidades críticas de Ubiquiti UniFi permiten a los atacantes tomar el control total de los sistemas subyacentes

Ubiquiti ha revelado dos vulnerabilidades de gravedad crítica a alta en su aplicación de red UniFi ampliamente implementada, incluida una falla de gravedad máxima que podría permitir a atacantes no autenticados tomar el control total de los sistemas subyacentes. CVE-2026-22557: Path Traversal permite comprometer todo el sistema.

La más grave de las dos fallas, rastreada como CVE-2026-22557, es una vulnerabilidad de Path Traversal que lleva una puntuación base CVSS v3.1 de 10.0 (crítica), la calificación más alta posible. Un actor malicioso con acceso a la red podría convertir esta falla en un arma para atravesar los límites del directorio dentro de la aplicación de red UniFi y acceder a archivos confidenciales en el sistema operativo subyacente. Luego, esos archivos podrían manipularse para obtener acceso no autorizado a las cuentas del sistema subyacente, entregando efectivamente al atacante un control administrativo completo sobre el host. CVE-2026-22558: La inyección NoSQL permite la escalación de privilegios La segunda falla, CVE-2026-22558, es una vulnerabilidad de inyección NoSQL autenticada con una calificación de 7,7 (alta) en la escala CVSS v3.1.

ProductoVersión afectadaAplicación UniFi Network (oficial) 10.1.85 y anterioresAplicación UniFi Network (candidata de lanzamiento)10.2.93 y anterioresAplicación UniFi Express (UX)Network 9.0.114 y anteriores Ubiquiti ha lanzado versiones parcheadas que abordan ambas vulnerabilidades simultáneamente. La publicación Las vulnerabilidades críticas de Ubiquiti UniFi permiten a los atacantes tomar el control total de los sistemas subyacentes apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗