image

Ubiquiti waarschuwt voor UniFi-lekken waardoor apparaten zijn over te nemen

dinsdag 7 juli 2026, 10:27 door Redactie, 6 reacties

Netwerkfabrikant Ubiquiti waarschuwt voor meerdere kritieke UniFi-lekken waardoor apparaten door aanvallers op afstand over zijn te nemen. In totaal is Ubiquiti met updates voor 25 verschillende kwetsbaarheden gekomen. Zeven van de beveiligingslekken zijn als kritiek aangemerkt, waarbij er vier een CVSS-impactscore van 9.9 en één zelfs van 10.0 op een schaal van 1 tot en met 10 hebben.

De 10.0-kwetsbaarheid (CVE-2026-50746) betreft een probleem in de UniFi Connect-app waardoor een aanvaller commando's op het host-apparaat kan uitvoeren. De kwetsbaarheden met een 9.9-score betreffen SQL Injection in de UniFi Talk-app (CVE-2026-50747), een fout met de invoervalidatie van de UniFi Access-app (CVE-2026-50748) en UniFi OS (CVE-2026-54402) en Server-Side Request Forgery (SSRF) in de UniFi Protect-app (CVE-2026-55115). Ook via deze kwetsbaarheden kan een aanvaller commando's of code op het host-systeem uitvoeren.

Een andere kwetsbaarheid die opvalt is een path traversal-lek in UniFi OS (CVE-2026-54403) waardoor een aanvaller de authenticatie van de betreffende apparaten kan omzeilen. UniFi OS is het besturingssysteem dat op de apparaten van Ubiquiti draait. "De kwetsbaarheden zijn aanwezig in applicaties en platformen die gebruikt worden voor netwerkbeheer, toegangscontrole, video surveillance en beveiligingsmonitoring binnen de UniFi-productlijn", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. Onlangs meldde het Amerikaanse cyberagentschap CISA dat er voor het eerst kwetsbaarheden in UniFi OS bij aanvallen zijn misbruikt.

Reacties (6)
Vandaag, 10:34 door Anoniem
UniFi begint wel een beetje te voel als de nieuwe Fortinet.
Vandaag, 11:35 door Anoniem
Door Anoniem: UniFi begint wel een beetje te voel als de nieuwe Fortinet.

Je bedoeld een leverancier die op de bal zit en continue updates uitbrengt om zijn producten zo veilig mogelijk te houden?
Vandaag, 13:19 door Anoniem
Ik vond het juist wel handig hoe gemakkelijk het was om mijn AP unifi te resetten via een mongodb die geen wachtwoord had, het was dan niet veilig maar je moest al wel op het netwerk zijn om dit uit te voeren.
Vandaag, 13:46 door Bitje-scheef
Door Anoniem:
Door Anoniem: UniFi begint wel een beetje te voel als de nieuwe Fortinet.

Je bedoeld een leverancier die op de bal zit en continue updates uitbrengt om zijn producten zo veilig mogelijk te houden?

Welke van de 2 ? Laat ik het zo zeggen als je de boel netjes doet, dan zijn al die updates niet nodig en zeker geen 8+ score.
Vandaag, 14:18 door Anoniem
Door Anoniem:
Door Anoniem: UniFi begint wel een beetje te voel als de nieuwe Fortinet.

Je bedoeld een leverancier die op de bal zit en continue updates uitbrengt om zijn producten zo veilig mogelijk te houden?

Hoe goed het ook is dat het gedicht word zou de hoeveelheid die nu uitkomen en zo hoog kwa score zijnniet mogen voorkomen bij bedrijf van deze grote.
Vandaag, 17:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: UniFi begint wel een beetje te voel als de nieuwe Fortinet.

Je bedoeld een leverancier die op de bal zit en continue updates uitbrengt om zijn producten zo veilig mogelijk te houden?

Hoe goed het ook is dat het gedicht word zou de hoeveelheid die nu uitkomen en zo hoog kwa score zijnniet mogen voorkomen bij bedrijf van deze grote.

Het probleem loopt bij iedere software leverancier tegenwoordig. Van de Linux Kernel en open source projecten, tot grote commerciële partijen. AI modellen zijn simpelweg goed in het opsporen van kwetsbaarheden.

Als je je gewoon houd aan simpele netwerk basis beveiliging, zoals het scheiden van netwerken, niet openbaar stellen van de management interface en regelmatig software updaten, dan loopt je met Ubiquiti momenteel niet veel risico. De grootste fouten zitten tevens in de VOIP software die normaal niet geïnstalleerd staat op de meeste apparaten van hen..

Anyway, het gaat er niet om of je software fouten hebt (dat heeft iedereen), het gaat er om hoe je ermee omgaat. Zoals snel patches uitbrengen, goede update tooling en transparante disclosures zodat iedereen op tijd actie kan ondernemen.
Al mijn sites zijn bijvoorbeeld al weken up2date.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.