Ubiquiti heeft twee kwetsbaarheden in de UniFi Network Application verholpen, waaronder een kwetsbaarheid met maximale ernst die aanvallers in staat kan stellen gebruikersaccounts over te nemen. De UniFi Network-app, ook wel bekend als UniFi Controller, is managementsoftware voor het configureren, monitoren en optimaliseren van Ubiquiti UniFi-netwerkhardware zoals access points, switches en gateways.

De kwetsbaarheid, geregistreerd als CVE-2026-22557, treft versies 10.1.85 en eerder van de UniFi Network-app en is verholpen in versie 10.1.89 en later. Door misbruik van een path traversal-zwakte kunnen aanvallers zonder privileges bestanden op het systeem benaderen en mogelijk gebruikersaccounts kapen via relatief eenvoudige aanvallen zonder dat gebruikersinteractie nodig is. Ubiquiti waarschuwt dat kwaadwillenden met netwerktoegang deze kwetsbaarheid kunnen benutten om toegang te krijgen tot onderliggende accounts.

Daarnaast is een tweede kwetsbaarheid aangepakt, een geauthenticeerde NoSQL-injectie, die aanvallers met beperkte rechten kunnen gebruiken om hun privileges te verhogen binnen de UniFi Network-app. Ubiquiti benadrukt dat deze kwetsbaarheden vooral gevaarlijk zijn omdat ze relatief eenvoudig te exploiteren zijn en geen uitgebreide gebruikersinteractie vereisen.

In de afgelopen jaren zijn Ubiquiti-producten vaker doelwit geweest van zowel door staten gesteunde hackers als cybercriminelen, die de apparaten misbruikten om botnets op te zetten voor het verbergen van kwaadaardige activiteiten. Zo werd in februari 2024 een botnet van gehackte Ubiquiti Edge OS-routers ontmanteld dat werd ingezet door de Russische militaire inlichtingendienst GRU om kwaadaardig verkeer te maskeren bij aanvallen op de Verenigde Staten en bondgenoten.