UNIFI Protect: Kameralarda ve idari arayüzde kritik güvenlik boşlukları

[Bakec]

Kameralardaki Kritik Güvenlik Boşluklarının Boşluğu, UNIFI'den ürün yelpazesini ve ilgili idari arayüzü korur. Yardımları ile saldırganlar cihazlardaki ayarları değiştirebilir ve hatta komutlarını yapabilirler.


Duyuru



UniFi ubiquiti üreticisi, bir güvenlik notunda toplam beş güvenlik boşluğu yayınladı:

• CVD-2025-23116 (CVSS 9.6, eleştirmen), belirli koşullar altında, kimlik doğrulamasının UNIFI koruma uygulamasını ve uzaktan kumandalı kameraları aldatmasına izin verir
• CVE-2025-23115 (CVSS 9.0, eleştirmen), “Ücretsiz Kullan” boşluğunu, kodlarının bir kameraya eklenmesi için önleyici kayıt olmadan saldırganlar tarafından kullanılabilir
• CVE-2025-23119 (CVSS 7.5, yüksek) bir saldırganın kodu bir UNIFI kamerasında gerçekleştirmesi için başka bir seçenek sunuyor
• CVD-2025-23117 (CVSS 6.8, orta), saldırganların yetkisiz kameraları manipüle edebileceği ürün yazılımı güncellemelerinin yetersiz kontrolü için atandı
• CVE-2025-23118 (CVSS 6.4, orta): Yetersiz sertifikanın testi, kullanıcının tanınmasına sahip bir saldırgan kullanıcının kameralarda yetkisiz değişiklikler yapmak için geçerli olmasına izin verir

Kameralar ve idari arayüz için güncellemeler


Güvenlik boşlukları, UNIFI Protect kameralarının 4.74.88'i ve 5.2.46 sürümündeki UNIFI Protect uygulaması dahil tüm sürümleri etkiler.

Yöneticiler hata tarafından düzenlenen sürümlere geçmelidir. Bu, UNIFI Protect uygulaması 5.2.49 veya daha yakın zamanda, kameralar için 4.74.106 sürümü en azından daha fakirdir. Daha yakın zamanlarda, üretici Ekim 2024'te ürünlerinden birinde ağır güvenlik boşluklarına sahipti.




(CKU)