In Ubiquitis UniFi OS und im UID Enterprise Agent klaffen fünf Sicherheitslücken, die Angreifern etwa das Einschmuggeln von Code, das Umgehen von Sicherheitsmaßnahmen oder unbefugten Zugriff auf Informationen ermöglichen. Der Hersteller hat aktualisierte Software veröffentlicht, die die Schwachstellen behebt.
In einer Sicherheitsmitteilung listet Ubiquiti die einzelnen Lücken auf. Drei Sicherheitslücken gelten demnach als kritisch. Angreifer mit Zugang zum Netzwerk und niedrigen Berechtigungen können eine unzureichende Eingabeprüfung in UID Enterprise Agent missbrauchen, um Befehle auf anfälligen Hosts auszuführen (CVE-2026-47367, CVSS 9.9, Risiko „kritisch“). Dieselbe Beschreibung und Auswirkung betrifft UniFi OS auf UniFi-OS-Geräten und -Instanzen (CVE-2026-47370, CVSS 9.9, Risiko „kritisch“). Noch unkonkreter ist eine Schwachstelle vom gleichen Typ in UniFi-OS-Geräten und Instanzen, die Angreifer zur Rechteausweitung nutzen können (CVE-2026-47369, CVSS 9.9, Risiko „kritisch“).
Eine Path-Traversal-Schwachstelle können bösartige Akteure mit Netzwerkzugang ausnutzen, um sich auf diversen UniFi-OS-Geräten und -Instanzen unbefugt Zugang zu Daten zu verschaffen (CVE-2026-47368, CVSS 8.6, Risiko „hoch“). Zudem können Angreifer mit Zugriff auf das Netzwerk in bestimmten, nicht genannten Konfigurationen eine unzureichende Rechteprüfung missbrauchen, um unbefugt Änderungen an anfälligen UniFi-OS-Geräten vorzunehmen (CVE-2026-48610, CVSS 8.1, Risiko „hoch“).
