CVE-2026-34908 beschreibt laut Ubiquiti ein Problem bei der Zugriffskontrolle. Dadurch können entfernte Angreifer unbefugte Änderungen an anfälligen UniFi-OS-Geräten vornehmen. Bei CVE-2026-34909 handelt es sich um einen Path-Traversal-Fehler, über den sich Dateien des zugrunde liegenden Betriebssystems abrufen und manipulieren lassen, um Zugriff auf darunterliegende Konten zu erlangen. CVE-2026-34910 wiederum ist eine Schwäche bei der Eingabevalidierung, die Command-Injection-Angriffe über das Netzwerk ermöglicht.

Ubiquiti teilte am 21. Mai mit, dass UniFi OS Server 5.0.8 mit Patches für diese Schwachstellen veröffentlicht wurde. Das Unternehmen erwähnte dabei nicht, dass die Lücken bereits in freier Wildbahn ausgenutzt würden. Mehrere Nutzer meldeten jedoch in den Firmenforen und auf Reddit, dass die Fehler wahrscheinlich als Zero-Days verwendet wurden, um automatisiert Aufklärungsangriffe durchzuführen und dabei unerlaubte Administratorkonten mit dem Namen „John Sim“ anzulegen.

Nach einer Analyse von BishopFox beruhen CVE-2026-34908 und CVE-2026-34909 auf einem Bypass des Authentifizierungs-Gateways, der in der Verarbeitung präparierter Anfragen durch NGINX wurzelt. In ihrer Rohform beginnen diese Anfragen mit einem von der Authentifizierung ausgenommenen Präfix, in normalisierter Form werden sie jedoch auf eine interne Route aufgelöst, die eigentlich eine Authentifizierung verlangen sollte. BishopFox erklärte, man habe den Bypass gegen eine laufende virtuelle Maschine mit UniFi OS 5.0.6 bestätigt; so aufgebaute Anfragen hätten interne Backends erreicht, die eigentlich geschützt sein sollten.

Dieser Gateway-Bypass führt laut BishopFox weiter zu CVE-2026-34910. Ursache sei die fehlende Validierung von Paketnamen in einer Funktion, die Updates verarbeitet. Ein Angreifer könne einen präparierten Paketnamen mit Shell-Metazeichen einschleusen und zusätzlich eine Option setzen, die den entsprechenden Befehls-Pfad erzwingt. Das ende in einer Command Injection. Das Unternehmen erklärte weiter, man habe den nicht authentifizierten Angriffsweg gegen ein eigenes Testziel mit Version 5.0.6 mit einem harmlosen, zeitbasierten Prüfmechanismus bestätigt: Der injizierte Teil habe den Server lediglich dazu gebracht, vor der Antwort für einen festen Zeitraum zu pausieren.

Das Centre for Cybersecurity Belgium weist darauf hin, dass UniFi-OS-Geräte zur Verwaltung von Infrastruktur ausgelegt und zentral in Netzwerke integriert sind. Eine erfolgreiche Kompromittierung könne Angreifern daher laterale Bewegungen in Unternehmensumgebungen ermöglichen.

Am Dienstag nahm CISA die drei Schwachstellen in ihren KEV-Katalog auf und forderte Bundesbehörden auf, die Lücken innerhalb von drei Tagen zu schließen, entsprechend den Vorgaben von BOD 26-04. Die Behörde verweist dabei auch auf CVE-2025-67038 mit einem CVSS-Wert von 9,8: eine nicht authentifizierte OS-Command-Injection-Schwachstelle in Lantronix EDS5000, die eine Codeausführung mit Root-Rechten ermöglichen kann. Dieser Fehler wurde im April gemeinsam mit 21 weiteren Schwachstellen in Lantronix- und Silex-Produkten offengelegt, die zusammen unter BRIDGE:BREAK geführt werden.