// HEISE ONLINE — CYBERSECURITY
Ubiquiti UniFi OS: Kritische Schadcode-Lücken und mehr
Ubiquiti warnt vor teils kritischen Sicherheitslücken in UniFi OS. Aktualisierte Software steht bereit, um sie zu schließen.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
In Ubiquitis UniFi OS und im UID Enterprise Agent klaffen fünf Sicherheitslücken, die Angreifern etwa das Einschmuggeln von Code, das Umgehen von Sicherheitsmaßnahmen oder unbefugten Zugriff auf Informationen ermöglichen. Der Hersteller hat aktualisierte Software veröffentlicht, die die Schwachstellen behebt.
In einer Sicherheitsmitteilung listet Ubiquiti die einzelnen Lücken auf. Drei Sicherheitslücken gelten demnach als kritisch. Angreifer mit Zugang zum Netzwerk und niedrigen Berechtigungen können eine unzureichende Eingabeprüfung in UID Enterprise Agent missbrauchen, um Befehle auf anfälligen Hosts auszuführen (CVE-2026-47367, CVSS 9.9, Risiko „kritisch“). Dieselbe Beschreibung und Auswirkung betrifft UniFi OS auf UniFi-OS-Geräten und -Instanzen (CVE-2026-47370, CVSS 9.9, Risiko „kritisch“). Noch unkonkreter ist eine Schwachstelle vom gleichen Typ in UniFi-OS-Geräten und Instanzen, die Angreifer zur Rechteausweitung nutzen können (CVE-2026-47369, CVSS 9.9, Risiko „kritisch“).
Eine Path-Traversal-Schwachstelle können bösartige Akteure mit Netzwerkzugang ausnutzen, um sich auf diversen UniFi-OS-Geräten und -Instanzen unbefugt Zugang zu Daten zu verschaffen (CVE-2026-47368, CVSS 8.6, Risiko „hoch“). Zudem können Angreifer mit Zugriff auf das Netzwerk in bestimmten, nicht genannten Konfigurationen eine unzureichende Rechteprüfung missbrauchen, um unbefugt Änderungen an anfälligen UniFi-OS-Geräten vorzunehmen (CVE-2026-48610, CVSS 8.1, Risiko „hoch“).
Die Sicherheitslücken behebt Ubiquiti im UID Enterprise Agent 1.61.4 aus. Außerdem korrigieren UniFi OS Server, UDM, UDM-Beast, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, UDR-5G, Express 7, UCK, UCKP, UCK-Enterprise, UNVR, UNVR-Pro, UNVR-Instant, ENVR, ENVR-Core, UNVR-G2, UNVR-G2-Pro, UCG-Ultra, UCG-Max, UCG-Industrial und UCG-Fiber 5.1.15 sowie UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 und UNAS-Pro-8 5.1.16 sowie Express 4.0.15 die sicherheitsrelevanten Fehler.
Erst vor rund zwei Wochen hatte Ubiquiti Sicherheitslücken in UniFi OS zu schließen. Dort kamen drei sogar auf die höchstmögliche Risikoeinstufung CVSS 10.0, mithin „kritisch“.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.