Netwerkfabrikant Ubiquiti waarschuwt voor meerdere kritieke UniFi-lekken waardoor apparaten door aanvallers op afstand over zijn te nemen. In totaal is Ubiquiti met updates voor 25 verschillende kwetsbaarheden gekomen. Zeven van de beveiligingslekken zijn als kritiek aangemerkt, waarbij er vier een CVSS-impactscore van 9.9 en één zelfs van 10.0 op een schaal van 1 tot en met 10 hebben.
De 10.0-kwetsbaarheid (CVE-2026-50746) betreft een probleem in de UniFi Connect-app waardoor een aanvaller commando's op het host-apparaat kan uitvoeren. De kwetsbaarheden met een 9.9-score betreffen SQL Injection in de UniFi Talk-app (CVE-2026-50747), een fout met de invoervalidatie van de UniFi Access-app (CVE-2026-50748) en UniFi OS (CVE-2026-54402) en Server-Side Request Forgery (SSRF) in de UniFi Protect-app (CVE-2026-55115). Ook via deze kwetsbaarheden kan een aanvaller commando's of code op het host-systeem uitvoeren.
Een andere kwetsbaarheid die opvalt is een path traversal-lek in UniFi OS (CVE-2026-54403) waardoor een aanvaller de authenticatie van de betreffende apparaten kan omzeilen. UniFi OS is het besturingssysteem dat op de apparaten van Ubiquiti draait. "De kwetsbaarheden zijn aanwezig in applicaties en platformen die gebruikt worden voor netwerkbeheer, toegangscontrole, video surveillance en beveiligingsmonitoring binnen de UniFi-productlijn", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. Onlangs meldde het Amerikaanse cyberagentschap CISA dat er voor het eerst kwetsbaarheden in UniFi OS bij aanvallen zijn misbruikt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.