Auf den Punkt: Ubiquiti patcht drei kritische Schwachstellen in UniFi OS (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910), die unbegrenzte Änderungen, Dateizugriffe und Befehlsinjektionen ermöglichen.
Ubiquiti hat Sicherheitsupdates für drei maximal kritische Schwachstellen in UniFi OS veröffentlicht, die Angreifer ohne Authentifizierung aus der Ferne ausnutzen können. Weltweit sind etwa 100.000 UniFi-OS-Geräte im Internet exponiert.
Ubiquiti hat am Donnerstag Updates für insgesamt fünf Schwachstellen in UniFi OS bereitgestellt. UniFi OS ist ein einheitliches Betriebssystem für UniFi Consoles und verwaltet IT-Infrastruktur wie Netzwerke, Sicherheitsdienste sowie die Anwendungen UniFi Network, UniFi Protect, UniFi Access, UniFi Talk und UniFi Connect.
Die drei maximal kritischen Schwachstellen sind: CVE-2026-34908 (unzureichende Zugriffskontrolle, ermöglicht unbegrenzte Systemänderungen), CVE-2026-34909 (Path-Traversal-Lücke zum Auslesen von Dateien und Kontodaten) und CVE-2026-34910 (unzureichende Eingabevalidierung, ermöglicht Befehlsinjektionen nach Netzwerkzugriff). Zusätzlich patcht Ubiquiti CVE-2026-33000 (kritische Befehlsinjektionen-Schwachstelle) und CVE-2026-34911 (Informationsoffenlegung). Alle Lücken sind mit geringem Komplexitätsaufwand ausnutzbar und wurden über das HackerOne-Bug-Bounty-Programm gemeldet.
Das Threat-Intelligence-Unternehmen Censys verfolgt derzeit knapp 100.000 über das Internet erreichbare UniFi-OS-Endpunkte, von denen etwa 50.000 in den USA lokalisiert sind. Unklar ist, wie viele dieser Geräte bereits durch die aktuellen Updates geschützt sind. Ubiquiti hat bislang nicht bestätigt, ob die Schwachstellen vor der Veröffentlichung aktiv ausgenutzt wurden.
Ubiquiti-Produkte sind seit Jahren im Fokus von staatlichen Hacker-Gruppen und Cyberkriminellen. Im Februar 2024 deaktivierte das FBI das Botnet „Moobot“, das gehackte Ubiquiti-Edge-OS-Router des russischen Geheimdiensts GRU zur Verschleierung von Cyberespionage-Angriffen auf die USA nutzte. Im April 2022 stufte die US-Cybersecurity- und Infrastructure-Security-Agency (CISA) eine kritische Befehlsinjektions-Lücke in Ubiquiti AirOS (CVE-2010-5330) als aktiv ausgenutzt ein und forderte Bundesbehörden zur Sicherung ihrer Geräte innerhalb von drei Wochen auf. Im März 2026 hatte Ubiquiti bereits zwei weitere kritische Schwachstellen in UniFi Network patcht (CVE-2026-22557, CVE-2026-22558).
Quelle: ainews.lumi-systems.io · Erschienen 23. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.