Ubiquiti heeft beveiligingsupdates uitgebracht om drie kwetsbaarheden met maximale ernst in UniFi OS te verhelpen. Deze kwetsbaarheden kunnen door aanvallers zonder speciale rechten op afstand worden misbruikt. UniFi OS is het besturingssysteem dat UniFi Consoles aandrijft en het beheer van IT-infrastructuur ondersteunt, waaronder netwerken, beveiliging en diverse UniFi-applicaties zoals UniFi Network, UniFi Protect, UniFi Access, UniFi Talk en UniFi Connect.

De eerste kwetsbaarheid (CVE-2026-34908) maakt het mogelijk voor aanvallers om ongeautoriseerde wijzigingen aan te brengen door een zwakte in de toegangscontrole van UniFi OS te misbruiken. De tweede (CVE-2026-34909) betreft een path traversal-kwetsbaarheid waarmee bestanden op het onderliggende systeem kunnen worden benaderd, wat kan leiden tot toegang tot een onderliggend account. De derde kritieke kwetsbaarheid (CVE-2026-34910) stelt kwaadwillenden in staat om na netwerktoegang een command injection-aanval uit te voeren door een gebrek aan juiste invoervalidatie.

Daarnaast heeft Ubiquiti op donderdag ook een tweede kritieke command injection-kwetsbaarheid (CVE-2026-33000) en een kwetsbaarheid met hoge ernst voor informatielekken (CVE-2026-34911) gepatcht, beide eveneens in UniFi OS-apparaten. Het is nog niet bekend of een van deze vijf kwetsbaarheden vóór publicatie in het wild zijn misbruikt. De kwetsbaarheden zijn gemeld via het bug bounty-programma van Ubiquiti en kunnen worden geëxploiteerd met relatief weinig complexiteit.

Volgens dreigingsinformatiebedrijf Censys worden momenteel bijna 100.000 UniFi OS-interfaces blootgesteld aan het internet, waarvan bijna 50.000 in de Verenigde Staten zijn gevestigd. Er is echter geen informatie beschikbaar over hoeveel hiervan inmiddels zijn beveiligd tegen de recent gepatchte kwetsbaarheden. Eerder dit jaar, in maart, heeft Ubiquiti ook al een andere kwetsbaarheid met maximale ernst in de UniFi Network Application verholpen (CVE-2026-22557), die accountovernames mogelijk maakte, evenals een privilege-escalatiekwetsbaarheid (CVE-2026-22558).

Ubiquiti-producten zijn de afgelopen jaren doelwit geweest van zowel door staten gesteunde hackers als cybercriminelen. Deze groepen gebruikten de apparaten onder meer om botnets op te zetten die hun kwaadaardige activiteiten verbergen. Zo werd in februari 2024 het Moobot-botnet, bestaande uit gehackte Ubiquiti Edge OS-routers, door de FBI ontmanteld. Dit botnet werd ingezet door de Russische militaire inlichtingendienst (GRU) voor cyberspionageaanvallen op de Verenigde Staten en bondgenoten. Vier jaar eerder, in april 2022, voegde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) een kritieke command injection-kwetsbaarheid in Ubiquiti AirOS toe aan haar lijst van actief misbruikte kwetsbaarheden en gaf zij federale instanties drie weken de tijd om hun apparaten te beveiligen.