A Ubiquiti divulgou em março de 2026 uma vulnerabilidade crítica na UniFi Network Application que permite tomada de conta sem autenticação. CVE-2026-22557 é CVSS 10, afetando versões 8.5.6 até 10.2.99 da aplicação de gerenciamento de rede da empresa.
Vulnerabilidade crítica
Em 18 de março de 2026, a Ubiquiti publicou o Security Advisory Bulletin 062 revelando CVE-2026-22557, uma falha de path traversal com classificação máxima de severidade. A vulnerabilidade foi descoberta e reportada por pesquisadores através do programa de bug bounty da empresa via HackerOne, que atribuiu CVSS 10.0. A falha permite que atacantes sem credenciais de autenticação acessem arquivos sensíveis no sistema, incluindo bancos de dados e configurações de usuários.
A aplicação UniFi Network é usada por milhares de empresas e provedores de serviços para gerenciar equipamentos de rede, switches, roteadores, sistemas Wi-Fi e câmeras de segurança. A plataforma centraliza o controle de dispositivos Ubiquiti em ambientes corporativos, educacionais e de serviços de internet, tornando a exposição massiva.
Segundo análise da Greenbone Networks no March 2026 Threat Report, CVE-2026-22557 é classificada como “máxima severidade” devido à combinação de autenticação nula, baixa complexidade de ataque, impacto completo em confidencialidade, integridade e disponibilidade, e capacidade de exploração em rede sem interação do usuário.
Impacto em empresas
Empresas que utilizam a plataforma UniFi Network para gerenciar sua infraestrutura de rede estão expostas a ataques que podem resultar em comprometimento completo de dispositivos gerenciados. Switches, roteadores, pontos de acesso Wi-Fi e câmeras de segurança conectados ao controlador podem ser submetidos a configurações maliciosas ou inutilizados por atacantes.
Provedores de serviços de internet e consultores de TI que gerenciam múltiplos clientes através de uma única instância UniFi correm risco adicional. A vulnerabilidade permite que um único comprometimento afete todos os clientes atendidos pela mesma plataforma, potencializando o impacto do incidente. O acesso ao banco de dados de usuários expõe credenciais de múltiplos clientes de uma só vez.
A cadeia de exploração identificada pela F5 Labs combina CVE-2026-22557 (autenticação nula) com CVE-2026-22558 (injeção NoSQL com credenciais de baixo privilégio). Juntas, as vulnerabilidades permitem que atacantes obtenham acesso inicial sem credenciais, elevem privilégios a administrador e persistam no ambiente por meio de contas legítimas criadas após o comprometimento.
Mecanismo de ataque
A vulnerabilidade reside em como a aplicação UniFi Network processa caminhos de arquivo em determinados endpoints HTTP. O campo de detecção (detection field) não valida adequadamente caracteres especiais como “../” que permitem navegarem para fora do diretório previsto, resultando em path traversal. Isso concede acesso irrestrito a arquivos do sistema de arquivos do servidor onde a aplicação está instalada.
O arquivo unifi_shard.db, banco de dados MongoDB que armazena credenciais de usuários (hashes de senhas, tokens de sessão), configurações de rede e chaves de API, é um dos alvos mais críticos. Ao obter acesso a esse arquivo, atacantes podem extrair credenciais de administradores e clientes, criar novas contas com privilégios elevados e assumir controle total da infraestrutura gerenciada pela plataforma.
A CVE-2026-22557 não requer que o atacante tenha qualquer credencial prévia no sistema (PR:N), é explorável remotamente via rede (AV:N), tem baixa complexidade de ataque (AC:L) e não precisa de interação do usuário (UI:N). O impacto é classificado como alto (C:H/I:H/A:H) e o escopo mudado (S:C), resultando no CVSS 10.0.
Uma segunda vulnerabilidade correlata, CVE-2026-22558, é uma injeção NoSQL com CVSS 7.7 que afeta usuários autenticados de baixo privilégio. Juntas, as duas falhas criam uma cadeia de exploração onde um atacante usa CVE-2026-22557 para obter acesso inicial e CVE-2026-22558 para elevar privilégios a administrador no sistema.
Versões afetadas
As versões da UniFi Network Application afetadas pela CVE-2026-22557 abrangem múltiplas linhas de lançamento. Tabela detalhada de versões vulneráveis:
| Linha de versão | Versões afetadas | Versão corrigida |
|---|---|---|
| LTS 8.x | 8.5.6 até 8.5.14 | 8.5.15 |
| LTS 9.x | 9.0.86 até 9.0.114 | 9.0.118 |
| Stable 10.x | 10.1.82 até 10.1.89 | 10.1.90 |
| Stable 10.x | 10.2.90 até 10.2.97 | 10.2.98 |
| UniFi Express (UX) | 9.0.114 e anteriores | 9.0.118 (firmware 4.0.13) |
Cronologia dos eventos:
- 19 de março de 2026: CVE-2026-22557 e CVE-2026-22558 publicadas no banco CVE.org. A HackerOne, CNA da Ubiquiti, atribui CVSS 10.0 e CVSS 7.7 respectivamente.
- 18 de março de 2026: Ubiquiti publica Security Advisory Bulletin 062 com detalhes técnicos e instruções de mitigação.
- 25 de março de 2026: F5 Labs inclui as vulnerabilidades no Weekly Threat Bulletin, classificando CVE-2026-22557 como “um dos riscos mais críticos de março de 2026”.
- 21 de junho de 2026: Bishop Fox publica análise técnica de cadeia de RCE não autenticada em servidores UniFi OS.
Recomendações de mitigação
Administradores de sistemas que rodam UniFi Network Application devem atualizar imediatamente para a versão corrigida disponível no site oficial da Ubiquiti. O update é obrigatório e deve ser aplicado prioritariamente em instalações expostas à internet, que podem ser varridas e exploradas de forma automatizada por botnets.
Empresas com instalações em ambiente isolado devem considerar o risco de movimentação lateral a partir de compromissos internos. A rede deve ser segmentada, e os servidores UniFi não devem ter acesso irrestrito à internet sem controles adicionais. Auditoria de logs de acesso aos endpoints da aplicação nos últimos 60 dias é recomendada para identificar possíveis tentativas de exploração.
Verificação de integridade de contas de usuários é crítica após o update. Administradores devem revisar a lista de usuários no painel UniFi, remover contas não reconhecidas e redefinir senhas de todos os usuários, incluindo clientes provisionados para acessos externos. Tokens de API e integrações de terceiros devem ser regenerados.
A Ubiquiti fornece ferramentas de detecção para ambientes que não podem ser atualizados imediatamente. Script de validação na linha do tempo de patch é recomendado para confirmar se o sistema foi comprometido antes da atualização. Empresas que não têm capacidade interna de análise forense devem considerar o uso de serviços profissionais de resposta a incidentes.