Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Validación de entrada incorrecta en el servidor de UniFI OS

Fecha de publicación 22/05/2026
Identificador
INCIBE-2026-370
Importancia
5 - Crítica
Recursos Afectados
  • Versión 5.0.6 y anteriores:
    • UniFi OS Server.
  • Versión 5.0.13 y anteriores:
    • UCG-Industrial.
  • Versión 5.0.16 y anteriores:
    • UDM;
    • UDM-Pro;
    • UDM-SE;
    • UDM-Pro-Max;
    • EFG;
    • UDW;
    • UDR;
    • UDR7;
    • Express 7;
    • UNVR;
    • UNVR-Pro;
    • UNVR-Instant;
    • ENVR;
    • UCG-Ultra;
    • UCG-Max;
    • UCG-Fiber.
  • Versión 5.0.17 y anteriores:
    • UDR-5G;
    • ENVR-Core;
    • UCKP;
    • UCK;
    • UCK-Enterprise.
  • Versión 5.1.11 y anteriores:
    • UNVR-G2;
    • UNVR-G2-Pro.
  • Versión 5.1.8 y anteriores:
    • UDM-Beast;
    • UNAS-2;
    • UNAS-4;
    • UNAS-Pro;
    • UNAS-Pro-4;
    • UNAS-Pro-8.
Descripción

UniFi ha publicado 5 vulnerabilidades: 4 de severidad crítica y 1 de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante ejecutar una inyección de comandos, realizar cambios no autorizados, acceder a una cuenta subyacente u obtener información confidencial.

Solución

A continuación se listan las versiones de actualización requeridas para corregir las vulnerabilidades:

  • Versión 5.0.8 o posterior:
    • UniFi OS Server.
  • Versión 5.1.10 o posterior:
    • UNAS-2;
    • UNAS-4;
    • UNAS-Pro;
    • UNAS-Pro-4;
    • UNAS-Pro-8.
  • Versión 5.1.11 o posterior:
    • UDM-Beast.
  • Versión 5.1.12 o posterior:
    • UCG-Industrial;
    • UDM;
    • UDM-Pro;
    • UDM-SE;
    • UDM-Pro-Max;
    • EFG;
    • UDW;
    • UDR;
    • UDR7;
    • Express 7;
    • UNVR;
    • UNVR-Pro;
    • UNVR-Instant;
    • ENVR;
    • UCG-Ultra;
    • UCG-Max;
    • UCG-Fiber;
    • UDR-5G;
    • ENVR-Core;
    • UCKP;
    • UCK;
    • UCK-Enterprise;
    • UNVR-G2;
    • UNVR-G2-Pro.
Detalle
  • CVE-2026-33000: un atacante malintencionado con acceso a la red y altos privilegios podría explotar una vulnerabilidad de validación de entrada incorrecta encontrada en los dispositivos UniFi OS para ejecutar una inyección de comandos.
  • CVE-2026-34908: un atacante malintencionado con acceso a la red podría explotar una vulnerabilidad de Control de Acceso Inapropiado presente en los dispositivos UniFi OS para realizar cambios no autorizados en el sistema.
  • CVE-2026-34909: un atacante malintencionado con acceso a la red podría explotar una vulnerabilidad de recorrido de ruta encontrada en los dispositivos UniFi OS para acceder a archivos en el sistema subyacente que podrían ser manipulados para acceder a una cuenta subyacente.
  • CVE-2026-34910: un atacante malintencionado con acceso a la red podría explotar una vulnerabilidad de validación de entrada incorrecta encontrada en los dispositivos UniFi OS para ejecutar una inyección de comandos.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2026-34911.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-33000 Crítica No UniFi
CVE-2026-34908 Crítica No UniFi
CVE-2026-34909 Crítica No UniFi
CVE-2026-34910 Crítica No UniFi
CVE-2026-34911 Alta No UniFi
Listado de referencias
Security Advisory Bulletin 064
Etiquetas