Se han descubierto vulnerabilidades de severidad crítica en productos Ubiquiti. Un actor malicioso podría lograr la ejecución remota de código, la escritura, lectura o eliminación arbitraria de archivos y la manipulación del sistema en las plataformas afectadas.
Productos afectados
Centro de datos y servidores Bamboo
- EFG, versión 5.0.16 y anteriores
- ENVR, versión 5.0.16 y anteriores
- ENVR-Core, versión 5.0.17 y anteriores
- Express 7, versión 5.0.16 y anteriores
- Express, versión 4.0.13 y anteriores
- UCG-Fiber, versión 5.0.16 y anteriores
- UCG-Industrial, versión 5.0.13 y anteriores
así como en otras versiones detalladas en el sitio oficial del fabricante.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-34908: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de control de acceso incorrecto en los dispositivos que ejecutan UniFi OS. Un actor malicioso remoto con acceso a la red podría aprovechar esta condición de manera no autenticada para realizar modificaciones no autorizadas y de carácter crítico en el sistema operativo subyacente.
CVE-2026-34910: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en los entornos UniFi OS. Un actor malicioso remoto con acceso a la red podría aprovechar esta condición sin credenciales previas para realizar una inyección de comandos en el servidor afectado.
CVE-2026-34909: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de salto de directorio dentro del ecosistema UniFi OS. Un actor malicioso remoto con acceso a la red podría aprovechar esta condición de manera no autenticada para acceder de forma indebida a archivos del sistema operativo que posteriormente pueden ser manipulados para comprometer cuentas internas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias