Ubiquiti a récemment signalé deux vulnérabilités de sécurité dans son application UniFi Network, l’une d’entre elles étant considérée comme critique. Cette faille permettrait à des attaquants d’accéder illégalement à des comptes utilisateurs à partir du réseau. En réponse, Ubiquiti a mis à disposition des mises à jour.
Dans un avis de sécurité, Ubiquiti avertit que, grâce à une vulnérabilité de « Path Traversal » dans l’application UniFi Network (autrefois connue sous le nom de contrôleur UniFi), les attaquants ayant accès au réseau peuvent manipuler des fichiers dans le système sous-jacent pour accéder à d’autres comptes (CVE-2026-22557, CVSS 10, niveau de risque « critique »). Les détails spécifiques n’ont pas été divulgués. De plus, des acteurs malveillants authentifiés peuvent exploiter une faille de NoSQL Injection pour étendre leurs privilèges (CVE-2026-22558, CVSS 7.7, niveau de risque « élevé »).
Les entrées CVE sont encore réservées, ce qui signifie que des informations plus concrètes sur ces vulnérabilités ne sont pas encore disponibles. Il est donc conseillé aux administrateurs de mettre à jour leurs instances avec les logiciels mis à jour afin de diminuer la surface d’attaque.
Versions de l’application UniFi Network corrigées
Les versions UniFi Network Application 10.1.89, 10.2.97 ainsi que le firmware 4.0.13 pour UniFi Express corrigent ces vulnérabilités, ce qui met à jour l’application UniFi Network à la version 9.0.118 ou plus récente. Ubiquiti fournit les téléchargements des mises à jour dans ses annonces de version et recommande de migrer vers UniFi OS Server pour les instances auto-hébergées.
En janvier dernier, Ubiquiti avait déjà patché une vulnérabilité dans l’application UniFi Protect, qui permettait un accès non autorisé aux caméras UniFi Protect.
Points à retenir
- Ubiquiti a identifié des vulnérabilités critiques dans son application UniFi Network.
- Les attaquants peuvent exploiter une vulnérabilité de Path Traversal pour accéder à des comptes.
- Une mise à jour rapide des logiciels est recommandée pour réduire les risques d’attaques.
- Les détails sur les vulnérabilités sont encore limités, les administrateurs doivent rester vigilants.
- Ubiquiti propose des versions corrigées de son application pour protéger les utilisateurs.
En tant qu’utilisateur de ces technologies, je trouve essentiel de rester informé sur les mises à jour de sécurité et de les appliquer rapidement. Les vulnérabilités signalées illustrent l’importance d’une gestion proactive de la sécurité. Face à des risques croissants, chacun d’entre nous a un rôle à jouer dans la protection de nos informations. Quelles mesures envisagez-vous de prendre pour sécuriser vos systèmes ?