Noch ein kurzer Hinweis für Nutzer von Ubiquiti-Systemen. Der Hersteller hat einen Notfall-Patch für sein UniFi OS veröffentlicht. Es sind drei kritische Schwachstellen (CVE-2026-34908, CVE-2026-34909, CVE-2026-3491) bekannt geworden, die mit einem CVSS 3.1 Index von 10.0 eingestuft wurden. Patchen ist angesagt.
Ubiquiti produziert und vertreibt sowohl drahtlose als auch kabelgebundene Datenkommunikationsprodukte für Unternehmen und Privathaushalte unter verschiedenen Markennamen.
Ubiquiti Security Advisory Bulletin 064
Ubiquiti hat zum 21. Mai 2026 das Security Advisory Bulletin 064 veröffentlicht. Ein böswilliger Angreifer mit Netzwerkzugriff und weitreichenden Berechtigungen könnte eine in UniFi OS-Geräten festgestellte Sicherheitslücke aufgrund unzureichender Eingabevalidierung ausnutzen, um eine Befehlsinjektion durchzuführen.
Betroffen ist UniFi OS Server (Version 5.0.6 und früher), eine Aktualisierung von UniFi OS Server auf Version 5.0.8 oder höher wird von Ubiquiti dringend angeraten. Der Hersteller nennt folgende Produkte als betroffen:
Affected Products:
UCG-Industrial (Version 5.0.13 and earlier)
UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, Express 7, UNVR, UNVR-Pro, UNVR-Instant, ENVR, UCG-Ultra, UCG-Max and UCG-Fiber (Version 5.0.16 and earlier)
UDR-5G, ENVR-Core, UCKP, UCK and UCK-Enterprise (Version 5.0.17 and earlier)
UniFi OS Server (Version 5.0.6 and earlier)
UNVR-G2 and UNVR-G2-Pro (Version 5.1.11 and earlier)
UDM-Beast, UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 and UNAS-Pro-8 (Version 5.1.8 and earlier)
In diesem Community-Eintrag werden alle geschlossenen Schwachstellen aufgelistet.
- CVE-2026-33000 Base Score: 9.1 Critical
- CVE-2026-34908 Base Score: 10.0 Critical
- CVE-2026-34909 Base Score: 10.0 Critical
- CVE-2026-34910 Base Score: 10.0 Critical
- CVE-2026-34911 Base Score: 7.7 High
Einer der Entdecker beschreibt in diesem Tweet eine der Schwachstelle. Die Schwachstellen werden mit folgenden Updates geschlossen:
- UniFi OS Server 5.0.8 (UOS Server Self-Hosted only)
- UniFi OS Network Attached Storage 5.1.10
- UDM Beast 5.1.11
- Otherwise UniFi OS 5.1.12
Nachfolgender Tweet liefert eine Übersicht über angreifbare, per Internet erreichbare Instanzen – Deutschland ist mit fast 1.700 Einheiten gut mit dabei.
Die Kollegen von Bleeping Computer haben in diesem Artikel vor zwei Tagen noch einige Informationen zusammen getragen.
Ergänzung: Zum 5. Juni 2026 hat Bishop Fox in diesem Artikel noch einige Details offen gelegt.
Ähnliche Artikel:
Ubiquiti Firmware-Update brickt U6+-Devices
Ubiquiti: UniFi Access setzt "Full Access"-Richtlinie in UniFi Access Version 4.1.35
Ubiquiti UniFi Network Application-Schwachstellen (CVE-2026-22557, CVE-2026-22558)
MVP: 2013 – 2016
Und sowas natürlich am verlängerten Wochenende bzw. verkürzten Arbeitswoche. Danke, dafür, sofern man entsprechende Gerätschaften einsetzt.
Gibt es bei Ubiquiti keine automatischen Aktualisierungen?
Wer setzt bitte automatische Updates im Enterprise Umfeld auf Netzwerkhardware ein? Wäre ja mega, wenn der Hersteller entscheidet wann dein Core Switch erstmal ins Update geht.
Ja gibt es, aber im Enterprise-Umfeld deaktiviert man das besser mal.
Die heimischen Geräte updaten automatisch.
Das Update dauert 5 Minuten in der Zeit ist dein Netzwerk mal eben "tot".
Man kann auch Einfluss auf die Updates nehmen, z.B. nach Zeitplan oder Auslastung und auch nicht alles auf einmal, LO. ;-)
Das klingt erstmal komisch, funktioniert aber auch im Enterprise Umfeld besser als gedacht.