Drei CVSS-10.0-Schwachstellen in Ubiquiti UniFi OS – kein Auth, volle Netzwerkkontrolle
Drei CVSS-10.0-Schwachstellen in Ubiquiti UniFi OS. Eine Exploit-Kette. Vollständige Netzwerkkontrolle. Keine Authentifizierung erforderlich.
Wenn Sie UniFi in Ihrem Büro einsetzen – und die meisten DACH-KMUs tun das – ist das Ihre höchste Patch-Priorität diese Woche.
CISA hat am 23. Juni drei Ubiquiti-Schwachstellen in seinen KEV-Katalog aufgenommen und damit aktive Ausnutzung in der Praxis bestätigt. CVE-2026-34909 ermöglicht einem nicht authentifizierten Angreifer das Lesen beliebiger Dateien einschließlich Zugangsdaten und Schlüsselmaterial. CVE-2026-34908 ermöglicht einem nicht authentifizierten Angreifer administrative Änderungen an jedem exponierten Gerät. CVE-2026-34910 ermöglicht einem nicht authentifizierten Angreifer das Injizieren und Ausführen von Systembefehlen.
Zusammen gekettet: Zugangsdaten lesen, Admin-Kontrolle übernehmen, beliebige Befehle ausführen. Keine Authentifizierung auf irgendeiner Stufe erforderlich. Keine Benutzerinteraktion. Läuft auf jedem Gerät, das UniFi OS ausführt und netzwerkerreichbar ist.
Aktualisieren Sie alle UniFi-Geräte sofort auf die neueste Firmware. Stellen Sie sicher, dass UniFi-Management-Interfaces nicht aus dem Internet erreichbar sind. Überprüfen Sie UniFi-Geräte auf Anzeichen einer Kompromittierung seit dem 23. Juni. Segmentieren Sie UniFi-Management-Traffic vom allgemeinen Netzwerkzugang.
