1.9 Aktiv ausgenutzte Lücken
OT / ICS / SCADA / IIoT

UniFi Protect

Hersteller: Ubiquiti

OT / ICS / SCADA / IIoT

UniFi Protect gehört zur Kategorie „OT / ICS / SCADA / IIoT“. xonatec überwacht die Videoüberwachung von Ubiquiti (Kameras, Rekorder, Türsprechanlagen) laufend auf neue Sicherheitslücken und priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS). Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

30
Reports
4
Aktiv ausgenutzt
Kritisch
Höchste Priorität
78.6%
Max. EPSS

Schwachstellen-Reports

30 Reports

Zeige 1 bis 30 von 30

  1. Ubiquiti UniFi OS – Schwachstelle durch unzureichende Eingabevalidierung

    CVE-2026-34910 Aktiv ausgenutzt

    In Ubiquiti UniFi OS besteht eine Schwachstelle durch unzureichende Eingabevalidierung (Improper Input Validation). Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt.

    EPSS: 78.55% Publiziert: Referenz: CISA KEV
  2. Ubiquiti AirOS – Command Injection

    CVE-2010-5330 Aktiv ausgenutzt

    In Ubiquiti AirOS wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 34.4 %.

    EPSS: 34.40% Publiziert: Referenz: CISA KEV
  3. Ubiquiti UniFi OS: unzureichende Zugriffskontrolle

    CVE-2026-34908 Aktiv ausgenutzt

    In Ubiquiti UniFi OS ermöglicht eine unzureichende Zugriffskontrolle unberechtigten Zugriff. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt (in den Katalog aufgenommen am 2026-06-23).

    EPSS: 2.45% Publiziert: Referenz: CISA KEV
  4. Ubiquiti UniFi OS: Path Traversal wird aktiv ausgenutzt

    CVE-2026-34909 Aktiv ausgenutzt

    In Ubiquiti UniFi OS besteht eine Path-Traversal-Schwachstelle, über die ein Angreifer auf Dateien ausserhalb des vorgesehenen Verzeichnisses zugreifen kann. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt (aufgenommen am 2026-06-23). Betroffen sind die überwachten Ubiquiti-Produkte UniFi OS und UniFi Protect. Empfohlene Massnahme: die von Ubiquiti bereitgestellten Aktualisierungen einspielen, sobald verfügbar.

    EPSS: 2.27% Publiziert: Referenz: CISA KEV
  5. Ubiquiti UniFi Dream Machine Pro: Umgehung der Domänenbeschränkungen über präparierte Pakete

    CVE-2023-24104 Kritisch

    In Ubiquiti Networks UniFi Dream Machine Pro v7.2.95 können Angreifer über präparierte Pakete die Domänenbeschränkungen umgehen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Schwachstelle über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar.

    CVSS: 9.8 Publiziert: Referenz: NVD
  6. UniFi Protect: Übernahme zugewiesener Kameras durch Angreifer im Netzwerk

    CVE-2021-22943 Kritisch

    Eine Schwachstelle in der UniFi Protect Anwendung bis einschliesslich V1.18.1 erlaubt es einem Angreifer, der bereits Zugang zum Netzwerk erlangt hat, die dem Netzwerk zugewiesenen Protect-Kameras zu kontrollieren. CVSS-Basiswert: 9.6 (Kritisch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Aktualisierung auf UniFi Protect V1.19.0 oder neuer, in der die Schwachstelle behoben ist.

    CVSS: 9.6 Publiziert: Referenz: NVD
  7. UniFi Protect – Umgehung der Authentifizierung über Improper Access Control

    CVE-2026-54407 Hoch

    In der UniFi Protect Application besteht eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang kann dadurch an bestimmten API-Endpunkten der UniFi Protect Application die Authentifizierung umgehen. CVSS-Basiswert: 8.6 (Hoch).

    CVSS: 8.6 Publiziert: Referenz: NVD
  8. UniFi Protect: Zugriffskontrolle beim Daten-Streaming umgangen

    CVE-2026-54408 Hoch

    In der UniFi-Protect-Anwendung besteht eine Schwachstelle bei der Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang kann darüber die Authentifizierung für das Daten-Streaming umgehen. CVSS-Basiswert: 8.6 (Hoch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion.

    CVSS: 8.6 Publiziert: Referenz: NVD
  9. UniFi Protect: Authentifizierungsumgehung durch fehlerhafte Initialisierung

    CVE-2026-54409 Hoch

    Ein Angreifer mit Netzwerkzugang kann unter bestimmten Bedingungen eine Improper-Initialization-Schwachstelle in der UniFi Protect Application ausnutzen, um die Authentifizierung von UniFi Protect Kameras zu umgehen. CVSS-Basiswert: 7.5 (Hoch).

    CVSS: 7.5 Publiziert: Referenz: NVD
  10. UniFi Protect Floodlight: Path Traversal erlaubt Dateizugriff

    CVE-2026-55111 Hoch

    In UniFi Protect Floodlight-Geräten besteht eine Path-Traversal-Schwachstelle. Ein Angreifer mit Netzzugang kann sie ausnutzen, um auf Dateien des UniFi Protect Floodlight zuzugreifen. CVSS-Basiswert: 7.5 (Hoch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung. Empfohlene Massnahme: die von Ubiquiti bereitgestellten Aktualisierungen für UniFi Protect einspielen.

    CVSS: 7.5 Publiziert: Referenz: NVD
  11. UniFi OS / UniFi Protect – Rechteausweitung über Improper Access Control

    CVE-2026-55112 Hoch

    In UniFi OS mit UniFi Protect Application besteht eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang und niedrigen Rechten kann unter bestimmten Bedingungen seine Rechte auf dem Host-Gerät ausweiten. CVSS-Basiswert: 7.5 (Hoch).

    CVSS: 7.5 Publiziert: Referenz: NVD
  12. UniFi Protect: Authentifizierte SQL-Injection erlaubt Rechteausweitung

    CVE-2026-56841 Hoch

    In der UniFi Protect Application besteht eine authentifizierte SQL-Injection-Schwachstelle. Ein Angreifer mit Netzzugang und niedrigen Rechten kann sie ausnutzen, um seine Rechte auf dem Host-Gerät auszuweiten. CVSS-Basiswert: 8.8 (Hoch) bei netzbasiertem Angriffsvektor mit niedrigen Rechten. Empfohlene Massnahme: die von Ubiquiti bereitgestellten Aktualisierungen für UniFi Protect einspielen.

    CVSS: 8.8 Publiziert: Referenz: NVD
  13. UniFi Protect: unautorisierter Kamerazugriff über Discovery-Protokoll

    CVE-2026-21633 Hoch

    Ein Angreifer mit Zugang zum benachbarten Netzwerk kann über eine Schwachstelle im Discovery-Protokoll der UniFi Protect Application (Version 6.1.79 und früher) unautorisierten Zugriff auf eine UniFi Protect Kamera erlangen. CVSS-Basiswert: 8.8 (Hoch). Der Vektor weist die Lücke als über das benachbarte Netzwerk ausnutzbar aus (AV:A). Empfohlene Massnahme: die UniFi Protect Application auf Version 6.2.72 oder neuer aktualisieren.

    CVSS: 8.8 Publiziert: Referenz: NVD
  14. UniFi Protect: CORS-Schwachstelle ermöglicht Kontoübernahme

    CVE-2021-22957 Hoch

    In der UniFi-Protect-Anwendung Version 1.19.2 und früher besteht eine Cross-Origin-Resource-Sharing-Schwachstelle (CORS). Ein Angreifer, der einen privilegierten Nutzer dazu bringt, eine URL mit Schadcode aufzurufen, kann dadurch dessen Konto übernehmen. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H – über das Netzwerk ausnutzbar, erfordert aber eine Nutzerinteraktion. Empfohlene Massnahme: Update auf UniFi Protect Version 1.20.0 oder neuer, in der die Schwachstelle behoben ist.

    CVSS: 8.8 Publiziert: Referenz: NVD
  15. UniFi Protect: Rechteausweitung von View-Only zu Eigentümer

    CVE-2021-22944 Hoch

    Eine Schwachstelle in der UniFi Protect Anwendung bis einschliesslich V1.18.1 erlaubt es einem Angreifer mit reiner Ansichtsrolle (view-only) und Netzwerkzugang, dieselben Rechte wie der Eigentümer der Protect-Anwendung zu erlangen. CVSS-Basiswert: 8.0 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Aktualisierung auf UniFi Protect V1.19.0 oder neuer, in der die Schwachstelle behoben ist.

    CVSS: 8.0 Publiziert: Referenz: NVD
  16. Ubiquiti UniFi Video: Code-Ausführung über unsichere Bibliotheks-Ladung

    CVE-2020-24755 Hoch

    In Ubiquiti UniFi Video v3.10.13 erfolgt die erste Prüfung der geladenen Bibliothek beim Start der ausführbaren Datei im aktuellen Verzeichnis. Dies ermöglicht das Vortäuschen und Verändern der Bibliothek, um Code auf dem System auszuführen; getestet wurde dies unter Windows 7 x64 und Windows 10 x64. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H – lokaler Angriffsvektor mit erforderlicher Nutzerinteraktion und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit.

    CVSS: 7.8 Publiziert: Referenz: NVD
  17. UniFi Protect: Denial of Service durch gefälschte Kameras

    CVE-2021-22882 Hoch

    UniFi Protect vor Version 1.17.1 erlaubt es einem Angreifer, mit gefälschten Kameras einen Denial-of-Service auszulösen, der den UniFi-Protect-Controller zum Absturz bringen kann. CVSS-Basiswert: 7.5 (Hoch). Laut CVSS-Vektor betrifft die Auswirkung ausschliesslich die Verfügbarkeit.

    CVSS: 7.5 Publiziert: Referenz: NVD
  18. Ubiquiti UniFi: Zwischengespeicherte Anmeldedaten ermöglichen unbefugten Netzzugang

    CVE-2020-27888 Hoch

    Auf Ubiquiti UniFi Meshing Access Point UAP-AC-M (4.3.21.11325) und UniFi Controller (6.0.28) werden zwischengespeicherte Anmeldedaten nicht gelöscht, wenn ein Access Point nach einer Unterbrechung drahtlos zurückkehrt. Dadurch kann unbeabsichtigter Netzwerkzugang entstehen. CVSS-Basiswert: 7.5 (Hoch).

    CVSS: 7.5 Publiziert: Referenz: NVD
  19. Ubiquiti UniFi Protect: Privilegienerweiterung durch View-only-Benutzer

    CVE-2020-8188 Hoch

    Ubiquiti hat neue UniFi-Protect-Firmware v1.13.3 und v1.14.10 für Cloud Key Gen2 Plus bzw. UniFi Dream Machine Pro/UNVR veröffentlicht, die eine Schwachstelle in v1.13.2, v1.14.9 und älter behebt. Benutzer mit reiner Leseberechtigung können bestimmte benutzerdefinierte Befehle ausführen und sich dadurch unberechtigt Rollen zuweisen und ihre Privilegien erweitern. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Empfohlene Massnahme: laut Quellbeschreibung auf UniFi Protect v1.13.3 bzw. v1.14.10 oder neuer aktualisieren.

    CVSS: 8.8 Publiziert: Referenz: NVD
  20. Ubiquiti UniFi Controller: Mehrere CSRF-Schwachstellen ermöglichen Admin-Übernahme

    CVE-2014-2225 Hoch

    In Ubiquiti Networks UniFi Controller vor Version 3.2.1 bestehen mehrere Cross-Site-Request-Forgery-Schwachstellen (CSRF). Ein entfernter Angreifer kann damit die Authentifizierung eines angemeldeten Administrators missbrauchen, etwa um über einen Aufruf von api/add/admin ein neues Administratorkonto anzulegen oder um Gast- und Systemeinstellungen wie WLAN-Konfiguration, Gastpasswort, Syslog-, SMTP- und Controller-Einstellungen zu verändern. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H – der Angriff erfordert eine Nutzerinteraktion. Empfohlene Massnahme: laut Quellbeschreibung auf UniFi Controller 3.2.1 oder neuer aktualisieren.

    CVSS: 8.8 Publiziert: Referenz: NVD
  21. UniFi Video: Cross-Site Request Forgery in der Web-API

    CVE-2019-5430 Hoch

    In UniFi Video 3.10.0 und früher fehlt ein CSRF-Schutz, sodass sich die Web-API missbrauchen lässt, um ohne Zustimmung des Benutzers Änderungen an der Serverkonfiguration vorzunehmen. Voraussetzung ist, dass ein authentifizierter Benutzer dazu verleitet wird, eine vom Angreifer kontrollierte Seite aufzurufen. CVSS-Basiswert: 8.8 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt.

    CVSS: 8.8 Publiziert: Referenz: NVD
  22. Ubiquiti UniFi Video für Windows: Schwache Verzeichnisrechte ermöglichen SYSTEM-Rechte

    CVE-2016-6914 Hoch

    Ubiquiti UniFi Video vor Version 3.8.0 für Windows verwendet schwache Berechtigungen für das Installationsverzeichnis. Ein lokaler Benutzer kann dadurch über eine untergeschobene taskkill.exe (Trojan Horse) SYSTEM-Rechte erlangen. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – der Angriff setzt lokalen Zugriff voraus. Empfohlene Massnahme: laut Quellbeschreibung auf UniFi Video 3.8.0 oder neuer aktualisieren.

    CVSS: 7.8 Publiziert: Referenz: NVD
  23. Ubiquiti UniFi: ungeschützter Datenbankzugriff erlaubt Manipulation

    CVE-2016-7792 Hoch

    Ubiquiti Networks UniFi 5.2.7 beschränkt den Zugriff auf die Datenbank nicht, sodass entfernte Angreifer die Datenbank durch direkte Verbindung verändern können. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – ausnutzbar aus dem angrenzenden Netz ohne Rechte oder Nutzerinteraktion mit voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Der Zugriff auf die Datenbank sollte netzseitig eingeschränkt werden.

    CVSS: 8.8 Publiziert: Referenz: NVD
  24. UniFi Protect: Überlauf im Discovery-Protokoll löst Neustart aus

    CVE-2026-21634 Mittel

    Ein Angreifer mit Zugang zum angrenzenden Netz kann das Discovery-Protokoll der UniFi-Protect-Anwendung (Version 6.1.79 und früher) zum Überlauf bringen und so einen Neustart der Anwendung auslösen. CVSS-Basiswert: 6.5 (Mittel), Vektor CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H – aus dem angrenzenden Netz ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Auswirkung ausschliesslich auf die Verfügbarkeit. Empfohlene Massnahme: Update der UniFi-Protect-Anwendung auf Version 6.2.72 oder neuer.

    CVSS: 6.5 Publiziert: Referenz: NVD
  25. Ubiquiti UniFi Protect: Authentifizierungsumgehung in der Controller-API

    CVE-2020-8267 Mittel

    In der UniFi Protect Controller API (v1.14.10 und älter) wurde das x-token unsachgemäss verwendet, sodass Angreifer authentifizierte Nachrichten ohne gültiges Token an die API senden konnten. Betroffen sind laut Quelle UDM-Pro-Firmware 1.7.2 und älter sowie UNVR-Firmware 1.3.12 und älter; nicht betroffen sind Cloud Key Gen 2 Plus sowie UDM-Pro mit gestopptem UniFi Protect. CVSS-Basiswert: 5.3 (Mittel), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N. Empfohlene Massnahme: UniFi Protect auf v1.14.11 oder neuer aktualisieren, alternativ die UNVR-Firmware auf 1.3.15 bzw. die UDM-Pro-Firmware auf 1.8.0 oder neuer.

    CVSS: 5.3 Publiziert: Referenz: NVD
  26. UniFi Protect: Preisgabe gültiger Benutzernamen

    CVE-2020-8213 Mittel

    Eine Schwachstelle in UniFi Protect vor v1.13.4-beta.5 erlaubt es nicht authentifizierten Angreifern, über HTTP-Antwortcodes und das Antwort-Timing gültige Benutzernamen der UniFi Protect Weboberfläche zu ermitteln. CVSS-Basiswert: 5.3 (Mittel). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Aktualisierung auf UniFi Protect v1.13.4-beta.5 oder neuer, in der die Schwachstelle behoben ist.

    CVSS: 5.3 Publiziert: Referenz: NVD
  27. Ubiquiti UniFi – Umgehung der Hotspot-Nutzungsbeschränkung

    CVE-2018-5264 Mittel

    Ubiquiti UniFi 52 Geräte erlauben bei aktiviertem Hotspot-Modus entfernten Angreifern, die vorgesehene Beschränkung der kostenlosen WLAN-Nutzung zu umgehen: Über eine Anfrage an /guest/s/default/ lässt sich zunächst ein Cookie beziehen, das anschliessend in einer /guest/s/default/login-Anfrage mit dem Parameter byfree verwendet wird. CVSS-Basiswert: 5.9 (Mittel).

    CVSS: 5.9 Publiziert: Referenz: NVD
  28. Ubiquiti UniFi Video: Zu offene Flash-Cross-Domain-Policy

    CVE-2014-2227 Mittel

    Die standardmässige Flash-Cross-Domain-Policy (crossdomain.xml) in Ubiquiti Networks UniFi Video (früher AirVision beziehungsweise AirVision Controller) vor Version 3.0.1 beschränkt den Zugriff auf die Anwendung nicht. Dadurch können entfernte Angreifer über eine manipulierte SWF-Datei die Same-Origin-Policy umgehen. CVSS-Basiswert: 6 (Mittel). Empfohlene Massnahme: auf UniFi Video 3.0.1 oder neuer aktualisieren.

    CVSS: 6.0 Publiziert: Referenz: NVD
  29. Ubiquiti UniFi Controller: Cross-Site-Scripting in der Administrationsoberfläche

    CVE-2013-3572 Mittel

    Eine Cross-Site-Scripting-Schwachstelle (XSS) in der Administrationsoberfläche des UniFi Controllers in Ubiquiti Networks UniFi 2.3.5 und früher erlaubt entfernten Angreifern, über einen manipulierten Client-Hostnamen beliebiges Web-Skript oder HTML einzuschleusen. CVSS-Basiswert: 6.1 (Mittel).

    CVSS: 6.1 Publiziert: Referenz: NVD
  30. Ubiquiti UniFi Controller: Passwort-Hash im Syslog

    CVE-2014-2226 Niedrig

    Der Ubiquiti UniFi Controller vor Version 3.2.1 protokolliert den Hash des Administrator-Passworts in Syslog-Meldungen. Dadurch können Angreifer in einer Man-in-the-Middle-Position über nicht näher bestimmte Vektoren an sensible Informationen gelangen. CVSS-Basiswert: 2.6 (Niedrig). Empfohlene Massnahme: auf UniFi Controller 3.2.1 oder neuer aktualisieren.

    CVSS: 2.6 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für UniFi Protect, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog