Ubiquiti åtgärdar fem kritiska sårbarheter i UniFi OS

Nätverksutrustningstillverkaren Ubiquiti har åtgärdat fem allvarliga säkerhetssårbarheter i sitt operativsystem UniFi OS och programvaran UID Enterprise Agent. Sårbarheterna kunde ha tillåtit angripare att exekvera kod på distans, kringgå säkerhetsåtgärder eller få obehörig åtkomst till information.

Tre av sårbarheterna klassificeras som kritiska (CVSS 9.9). De är relaterade till otillräcklig indatavalidering i UID Enterprise Agent och UniFi OS, vilket möjliggör för angripare att exekvera kommandon på sårbara system. Samma typ av sårbarhet möjliggör även eskalering av privilegier.

Dessutom har två sårbarheter med hög risk (CVSS 8.6 och 8.1) upptäckts. En sårbarhet för "path traversal" tillåter obehörig åtkomst till data på UniFi OS-enheter, och otillräckliga auktoriseringskontroller kan potentiellt leda till obehöriga ändringar i systemen.

Ubiquiti har släppt uppdateringar för att åtgärda dessa sårbarheter. De uppdaterade versionerna inkluderar UID Enterprise Agent 1.61.4 och flera versioner av UniFi OS, bland annat UDM-serien, UCK-serien och UNVR-serien med versionsnummer som börjar med 5.1.15 eller 5.1.16. Även Express-enheter har uppdaterats till version 4.0.15.

Denna åtgärdsomgång följer endast cirka två veckor efter tidigare meddelanden där Ubiquiti åtgärdade kritiska sårbarheter i UniFi OS, varav vissa hade högsta möjliga riskklassificering på CVSS 10.0.