A Ubiquiti divulgou em março de 2026 uma vulnerabilidade crítica na UniFi Network Application que permite tomada de conta sem autenticação. CVE-2026-22557 é CVSS 10, afetando versões 8.5.6 até 10.2.99 da aplicação de gerenciamento de rede da empresa.

Vulnerabilidade crítica

Em 18 de março de 2026, a Ubiquiti publicou o Security Advisory Bulletin 062 revelando CVE-2026-22557, uma falha de path traversal com classificação máxima de severidade. A vulnerabilidade foi descoberta e reportada por pesquisadores através do programa de bug bounty da empresa via HackerOne, que atribuiu CVSS 10.0. A falha permite que atacantes sem credenciais de autenticação acessem arquivos sensíveis no sistema, incluindo bancos de dados e configurações de usuários.

A aplicação UniFi Network é usada por milhares de empresas e provedores de serviços para gerenciar equipamentos de rede, switches, roteadores, sistemas Wi-Fi e câmeras de segurança. A plataforma centraliza o controle de dispositivos Ubiquiti em ambientes corporativos, educacionais e de serviços de internet, tornando a exposição massiva.

Segundo análise da Greenbone Networks no March 2026 Threat Report, CVE-2026-22557 é classificada como “máxima severidade” devido à combinação de autenticação nula, baixa complexidade de ataque, impacto completo em confidencialidade, integridade e disponibilidade, e capacidade de exploração em rede sem interação do usuário.

Impacto em empresas

Empresas que utilizam a plataforma UniFi Network para gerenciar sua infraestrutura de rede estão expostas a ataques que podem resultar em comprometimento completo de dispositivos gerenciados. Switches, roteadores, pontos de acesso Wi-Fi e câmeras de segurança conectados ao controlador podem ser submetidos a configurações maliciosas ou inutilizados por atacantes.

Provedores de serviços de internet e consultores de TI que gerenciam múltiplos clientes através de uma única instância UniFi correm risco adicional. A vulnerabilidade permite que um único comprometimento afete todos os clientes atendidos pela mesma plataforma, potencializando o impacto do incidente. O acesso ao banco de dados de usuários expõe credenciais de múltiplos clientes de uma só vez.

A cadeia de exploração identificada pela F5 Labs combina CVE-2026-22557 (autenticação nula) com CVE-2026-22558 (injeção NoSQL com credenciais de baixo privilégio). Juntas, as vulnerabilidades permitem que atacantes obtenham acesso inicial sem credenciais, elevem privilégios a administrador e persistam no ambiente por meio de contas legítimas criadas após o comprometimento.

Mecanismo de ataque

A vulnerabilidade reside em como a aplicação UniFi Network processa caminhos de arquivo em determinados endpoints HTTP. O campo de detecção (detection field) não valida adequadamente caracteres especiais como “../” que permitem navegarem para fora do diretório previsto, resultando em path traversal. Isso concede acesso irrestrito a arquivos do sistema de arquivos do servidor onde a aplicação está instalada.

O arquivo unifi_shard.db, banco de dados MongoDB que armazena credenciais de usuários (hashes de senhas, tokens de sessão), configurações de rede e chaves de API, é um dos alvos mais críticos. Ao obter acesso a esse arquivo, atacantes podem extrair credenciais de administradores e clientes, criar novas contas com privilégios elevados e assumir controle total da infraestrutura gerenciada pela plataforma.

A CVE-2026-22557 não requer que o atacante tenha qualquer credencial prévia no sistema (PR:N), é explorável remotamente via rede (AV:N), tem baixa complexidade de ataque (AC:L) e não precisa de interação do usuário (UI:N). O impacto é classificado como alto (C:H/I:H/A:H) e o escopo mudado (S:C), resultando no CVSS 10.0.

Uma segunda vulnerabilidade correlata, CVE-2026-22558, é uma injeção NoSQL com CVSS 7.7 que afeta usuários autenticados de baixo privilégio. Juntas, as duas falhas criam uma cadeia de exploração onde um atacante usa CVE-2026-22557 para obter acesso inicial e CVE-2026-22558 para elevar privilégios a administrador no sistema.

Versões afetadas

As versões da UniFi Network Application afetadas pela CVE-2026-22557 abrangem múltiplas linhas de lançamento. Tabela detalhada de versões vulneráveis:

Linha de versão Versões afetadas Versão corrigida
LTS 8.x 8.5.6 até 8.5.14 8.5.15
LTS 9.x 9.0.86 até 9.0.114 9.0.118
Stable 10.x 10.1.82 até 10.1.89 10.1.90
Stable 10.x 10.2.90 até 10.2.97 10.2.98
UniFi Express (UX) 9.0.114 e anteriores 9.0.118 (firmware 4.0.13)

Cronologia dos eventos:

  • 19 de março de 2026: CVE-2026-22557 e CVE-2026-22558 publicadas no banco CVE.org. A HackerOne, CNA da Ubiquiti, atribui CVSS 10.0 e CVSS 7.7 respectivamente.
  • 18 de março de 2026: Ubiquiti publica Security Advisory Bulletin 062 com detalhes técnicos e instruções de mitigação.
  • 25 de março de 2026: F5 Labs inclui as vulnerabilidades no Weekly Threat Bulletin, classificando CVE-2026-22557 como “um dos riscos mais críticos de março de 2026”.
  • 21 de junho de 2026: Bishop Fox publica análise técnica de cadeia de RCE não autenticada em servidores UniFi OS.

Recomendações de mitigação

Administradores de sistemas que rodam UniFi Network Application devem atualizar imediatamente para a versão corrigida disponível no site oficial da Ubiquiti. O update é obrigatório e deve ser aplicado prioritariamente em instalações expostas à internet, que podem ser varridas e exploradas de forma automatizada por botnets.

Empresas com instalações em ambiente isolado devem considerar o risco de movimentação lateral a partir de compromissos internos. A rede deve ser segmentada, e os servidores UniFi não devem ter acesso irrestrito à internet sem controles adicionais. Auditoria de logs de acesso aos endpoints da aplicação nos últimos 60 dias é recomendada para identificar possíveis tentativas de exploração.

Verificação de integridade de contas de usuários é crítica após o update. Administradores devem revisar a lista de usuários no painel UniFi, remover contas não reconhecidas e redefinir senhas de todos os usuários, incluindo clientes provisionados para acessos externos. Tokens de API e integrações de terceiros devem ser regenerados.

A Ubiquiti fornece ferramentas de detecção para ambientes que não podem ser atualizados imediatamente. Script de validação na linha do tempo de patch é recomendado para confirmar se o sistema foi comprometido antes da atualização. Empresas que não têm capacidade interna de análise forense devem considerar o uso de serviços profissionais de resposta a incidentes.

Fontes