Ubiquiti korjaa viisi kriittistä haavoittuvuutta UniFi OS:ssä

Verkkolaitevalmistaja Ubiquiti on korjannut viisi merkittävää tietoturvahaavoittuvuutta UniFi OS -käyttöjärjestelmässään ja UID Enterprise Agent -ohjelmistossaan. Haavoittuvuuksien avulla hyökkääjät ovat voineet suorittaa koodia etänä, ohittaa tietoturvamekanismeja tai päästä käsiksi tietoihin luvattomasti.

Kolme haavoittuvuuksista on luokiteltu kriittisiksi (CVSS 9.9). Ne liittyvät syötteiden riittämättömään validointiin UID Enterprise Agentissa ja UniFi OS:ssä, mahdollistaen hyökkääjille komentojen suorittamisen haavoittuvissa järjestelmissä. Sama haavoittuvuustyyppi mahdollistaa myös oikeuksien korottamisen.

Lisäksi kaksi korkean riskin (CVSS 8.6 ja 8.1) haavoittuvuutta on löydetty. Polunläpäisyhaavoittuvuus sallii luvattoman pääsyn tietoihin UniFi OS -laitteissa, ja riittämättömät valtuutusmekanismit voivat mahdollistaa luvattomat muutokset järjestelmiin.

Ubiquiti on julkaissut päivitykset haavoittuvuuksien korjaamiseksi. Päivitetyt versiot ovat UID Enterprise Agent 1.61.4 ja useat UniFi OS -versiot, mukaan lukien UDM-sarja, UCK-sarja ja UNVR-sarja, joiden versiomerkinnät alkavat 5.1.15 tai 5.1.16. Myös Express-laitteet on päivitetty versioon 4.0.15.

Tämä korjauskierros seuraa vain noin kahden viikon takaisia julkaisuja, joissa Ubiquiti paikkasi UniFi OS:n kriittisiä haavoittuvuuksia, joista osa sai korkeimman mahdollisen CVSS 10.0 -luokituksen.