CISA KEV: Ubiquiti UniFi OS com trio de falhas CVSS 10.0 exploradas ativamente (CVE-2026-34908/34909/34910)

<p>A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) três falhas críticas nos dispositivos Ubiquiti UniFi OS, com pontuação máxima de <strong>CVSS 10.0</strong>. O alerta, publicado em 23 de junho de 2026, exige que agências do governo federal norte-americano apliquem as correções até 26 de junho, em conformidade com a Diretiva Operacional Vinculante BOD 26-04.</p><h2>As três vulnerabilidades encadeadas</h2><ul><li><strong>CVE-2026-34908</strong> — Bypass de controle de acesso: permite que um invasor não autenticado realize mudanças não autorizadas no sistema UniFi OS, potencialmente abrindo caminho para comprometimento total.</li><li><strong>CVE-2026-34909</strong> — Path traversal: acesso a arquivos sensíveis no sistema operacional subjacente, expondo credenciais e arquivos de configuração que facilitam o sequestro de contas.</li><li><strong>CVE-2026-34910</strong> — Validação inadequada de entrada: injeção e execução de comandos arbitrários no SO, levando à execução remota de código (RCE) e controle completo do dispositivo.</li></ul><p>Pesquisadores da Bishop Fox demonstraram que CVE-2026-34908 e CVE-2026-34909 podem ser encadeados com CVE-2026-34910 para alcançar <strong>RCE não-autenticado com privilégios elevados</strong>, eliminando qualquer barreira de autenticação. Em ataques observados, o encadeamento resultou na criação de contas de administrador maliciosas durante reconhecimento automatizado.</p><h2>Correção disponível</h2><p>A Ubiquiti liberou atualizações de segurança em maio de 2026. A versão corrigida é o <strong>UniFi OS Server 5.0.8</strong>. Administradores de redes que utilizam UniFi Controllers, Dream Machine ou produtos relacionados devem atualizar imediatamente.</p><p>Além das três falhas UniFi, a CISA também adicionou ao KEV o <strong>CVE-2025-67038</strong> (Lantronix EDS5000 — injeção de código root, CVSS crítico), que afeta os modelos EDS5008, EDS5016 e EDS5032, corrigido na versão de firmware 2.2.0.0R1.</p>