<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: UniFi Protect</title>
    <link>https://feed.xonatec.ch/produkte/unifi-protect</link>
    <description>Priorisierte Schwachstellen-Reports für UniFi Protect. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/unifi-protect.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2026-34910 — Ubiquiti UniFi OS – Schwachstelle durch unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34910</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34910</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti UniFi OS besteht eine Schwachstelle durch unzureichende Eingabevalidierung (Improper Input Validation). Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt.

Severity: Aktiv ausgenutzt · EPSS: 78.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>🔴 CVE-2010-5330 — Ubiquiti AirOS – Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2010-5330</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2010-5330</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti AirOS wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 34.4 %.

Severity: Aktiv ausgenutzt · EPSS: 34.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>🔴 CVE-2026-34908 — Ubiquiti UniFi OS: unzureichende Zugriffskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34908</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34908</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti UniFi OS ermöglicht eine unzureichende Zugriffskontrolle unberechtigten Zugriff. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt (in den Katalog aufgenommen am 2026-06-23).

Severity: Aktiv ausgenutzt · EPSS: 2.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>🔴 CVE-2026-34909 — Ubiquiti UniFi OS: Path Traversal wird aktiv ausgenutzt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34909</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34909</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti UniFi OS besteht eine Path-Traversal-Schwachstelle, über die ein Angreifer auf Dateien ausserhalb des vorgesehenen Verzeichnisses zugreifen kann. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt (aufgenommen am 2026-06-23). Betroffen sind die überwachten Ubiquiti-Produkte UniFi OS und UniFi Protect. Empfohlene Massnahme: die von Ubiquiti bereitgestellten Aktualisierungen einspielen, sobald verfügbar.

Severity: Aktiv ausgenutzt · EPSS: 2.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2023-24104 — Ubiquiti UniFi Dream Machine Pro: Umgehung der Domänenbeschränkungen über präparierte Pakete</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-24104</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-24104</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti Networks UniFi Dream Machine Pro v7.2.95 können Angreifer über präparierte Pakete die Domänenbeschränkungen umgehen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Schwachstelle über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar.

Severity: Kritisch · CVSS: 9.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Kritisch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2021-22943 — UniFi Protect: Übernahme zugewiesener Kameras durch Angreifer im Netzwerk</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-22943</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-22943</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle in der UniFi Protect Anwendung bis einschliesslich V1.18.1 erlaubt es einem Angreifer, der bereits Zugang zum Netzwerk erlangt hat, die dem Netzwerk zugewiesenen Protect-Kameras zu kontrollieren. CVSS-Basiswert: 9.6 (Kritisch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Aktualisierung auf UniFi Protect V1.19.0 oder neuer, in der die Schwachstelle behoben ist.

Severity: Kritisch · CVSS: 9.6

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Kritisch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-54407 — UniFi Protect – Umgehung der Authentifizierung über Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54407</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54407</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der UniFi Protect Application besteht eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang kann dadurch an bestimmten API-Endpunkten der UniFi Protect Application die Authentifizierung umgehen. CVSS-Basiswert: 8.6 (Hoch).

Severity: Hoch · CVSS: 8.6

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-54408 — UniFi Protect: Zugriffskontrolle beim Daten-Streaming umgangen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54408</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54408</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der UniFi-Protect-Anwendung besteht eine Schwachstelle bei der Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang kann darüber die Authentifizierung für das Daten-Streaming umgehen. CVSS-Basiswert: 8.6 (Hoch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion.

Severity: Hoch · CVSS: 8.6

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-54409 — UniFi Protect: Authentifizierungsumgehung durch fehlerhafte Initialisierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54409</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54409</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Angreifer mit Netzwerkzugang kann unter bestimmten Bedingungen eine Improper-Initialization-Schwachstelle in der UniFi Protect Application ausnutzen, um die Authentifizierung von UniFi Protect Kameras zu umgehen. CVSS-Basiswert: 7.5 (Hoch).

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-55111 — UniFi Protect Floodlight: Path Traversal erlaubt Dateizugriff</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55111</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55111</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In UniFi Protect Floodlight-Geräten besteht eine Path-Traversal-Schwachstelle. Ein Angreifer mit Netzzugang kann sie ausnutzen, um auf Dateien des UniFi Protect Floodlight zuzugreifen. CVSS-Basiswert: 7.5 (Hoch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung. Empfohlene Massnahme: die von Ubiquiti bereitgestellten Aktualisierungen für UniFi Protect einspielen.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-55112 — UniFi OS / UniFi Protect – Rechteausweitung über Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55112</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55112</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In UniFi OS mit UniFi Protect Application besteht eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang und niedrigen Rechten kann unter bestimmten Bedingungen seine Rechte auf dem Host-Gerät ausweiten. CVSS-Basiswert: 7.5 (Hoch).

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-56841 — UniFi Protect: Authentifizierte SQL-Injection erlaubt Rechteausweitung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56841</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56841</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der UniFi Protect Application besteht eine authentifizierte SQL-Injection-Schwachstelle. Ein Angreifer mit Netzzugang und niedrigen Rechten kann sie ausnutzen, um seine Rechte auf dem Host-Gerät auszuweiten. CVSS-Basiswert: 8.8 (Hoch) bei netzbasiertem Angriffsvektor mit niedrigen Rechten. Empfohlene Massnahme: die von Ubiquiti bereitgestellten Aktualisierungen für UniFi Protect einspielen.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-21633 — UniFi Protect: unautorisierter Kamerazugriff über Discovery-Protokoll</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-21633</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-21633</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Angreifer mit Zugang zum benachbarten Netzwerk kann über eine Schwachstelle im Discovery-Protokoll der UniFi Protect Application (Version 6.1.79 und früher) unautorisierten Zugriff auf eine UniFi Protect Kamera erlangen. CVSS-Basiswert: 8.8 (Hoch). Der Vektor weist die Lücke als über das benachbarte Netzwerk ausnutzbar aus (AV:A). Empfohlene Massnahme: die UniFi Protect Application auf Version 6.2.72 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2021-22957 — UniFi Protect: CORS-Schwachstelle ermöglicht Kontoübernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-22957</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-22957</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der UniFi-Protect-Anwendung Version 1.19.2 und früher besteht eine Cross-Origin-Resource-Sharing-Schwachstelle (CORS). Ein Angreifer, der einen privilegierten Nutzer dazu bringt, eine URL mit Schadcode aufzurufen, kann dadurch dessen Konto übernehmen. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H – über das Netzwerk ausnutzbar, erfordert aber eine Nutzerinteraktion. Empfohlene Massnahme: Update auf UniFi Protect Version 1.20.0 oder neuer, in der die Schwachstelle behoben ist.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2021-22944 — UniFi Protect: Rechteausweitung von View-Only zu Eigentümer</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-22944</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-22944</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle in der UniFi Protect Anwendung bis einschliesslich V1.18.1 erlaubt es einem Angreifer mit reiner Ansichtsrolle (view-only) und Netzwerkzugang, dieselben Rechte wie der Eigentümer der Protect-Anwendung zu erlangen. CVSS-Basiswert: 8.0 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Aktualisierung auf UniFi Protect V1.19.0 oder neuer, in der die Schwachstelle behoben ist.

Severity: Hoch · CVSS: 8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2020-24755 — Ubiquiti UniFi Video: Code-Ausführung über unsichere Bibliotheks-Ladung</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-24755</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-24755</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti UniFi Video v3.10.13 erfolgt die erste Prüfung der geladenen Bibliothek beim Start der ausführbaren Datei im aktuellen Verzeichnis. Dies ermöglicht das Vortäuschen und Verändern der Bibliothek, um Code auf dem System auszuführen; getestet wurde dies unter Windows 7 x64 und Windows 10 x64. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H – lokaler Angriffsvektor mit erforderlicher Nutzerinteraktion und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit.

Severity: Hoch · CVSS: 7.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2021-22882 — UniFi Protect: Denial of Service durch gefälschte Kameras</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-22882</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-22882</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>UniFi Protect vor Version 1.17.1 erlaubt es einem Angreifer, mit gefälschten Kameras einen Denial-of-Service auszulösen, der den UniFi-Protect-Controller zum Absturz bringen kann. CVSS-Basiswert: 7.5 (Hoch). Laut CVSS-Vektor betrifft die Auswirkung ausschliesslich die Verfügbarkeit.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2020-27888 — Ubiquiti UniFi: Zwischengespeicherte Anmeldedaten ermöglichen unbefugten Netzzugang</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-27888</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-27888</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Auf Ubiquiti UniFi Meshing Access Point UAP-AC-M (4.3.21.11325) und UniFi Controller (6.0.28) werden zwischengespeicherte Anmeldedaten nicht gelöscht, wenn ein Access Point nach einer Unterbrechung drahtlos zurückkehrt. Dadurch kann unbeabsichtigter Netzwerkzugang entstehen. CVSS-Basiswert: 7.5 (Hoch).

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2020-8188 — Ubiquiti UniFi Protect: Privilegienerweiterung durch View-only-Benutzer</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-8188</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-8188</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ubiquiti hat neue UniFi-Protect-Firmware v1.13.3 und v1.14.10 für Cloud Key Gen2 Plus bzw. UniFi Dream Machine Pro/UNVR veröffentlicht, die eine Schwachstelle in v1.13.2, v1.14.9 und älter behebt. Benutzer mit reiner Leseberechtigung können bestimmte benutzerdefinierte Befehle ausführen und sich dadurch unberechtigt Rollen zuweisen und ihre Privilegien erweitern. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Empfohlene Massnahme: laut Quellbeschreibung auf UniFi Protect v1.13.3 bzw. v1.14.10 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2014-2225 — Ubiquiti UniFi Controller: Mehrere CSRF-Schwachstellen ermöglichen Admin-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2014-2225</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2014-2225</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Ubiquiti Networks UniFi Controller vor Version 3.2.1 bestehen mehrere Cross-Site-Request-Forgery-Schwachstellen (CSRF). Ein entfernter Angreifer kann damit die Authentifizierung eines angemeldeten Administrators missbrauchen, etwa um über einen Aufruf von api/add/admin ein neues Administratorkonto anzulegen oder um Gast- und Systemeinstellungen wie WLAN-Konfiguration, Gastpasswort, Syslog-, SMTP- und Controller-Einstellungen zu verändern. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H – der Angriff erfordert eine Nutzerinteraktion. Empfohlene Massnahme: laut Quellbeschreibung auf UniFi Controller 3.2.1 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2019-5430 — UniFi Video: Cross-Site Request Forgery in der Web-API</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-5430</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-5430</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In UniFi Video 3.10.0 und früher fehlt ein CSRF-Schutz, sodass sich die Web-API missbrauchen lässt, um ohne Zustimmung des Benutzers Änderungen an der Serverkonfiguration vorzunehmen. Voraussetzung ist, dass ein authentifizierter Benutzer dazu verleitet wird, eine vom Angreifer kontrollierte Seite aufzurufen. CVSS-Basiswert: 8.8 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2016-6914 — Ubiquiti UniFi Video für Windows: Schwache Verzeichnisrechte ermöglichen SYSTEM-Rechte</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-6914</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-6914</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ubiquiti UniFi Video vor Version 3.8.0 für Windows verwendet schwache Berechtigungen für das Installationsverzeichnis. Ein lokaler Benutzer kann dadurch über eine untergeschobene taskkill.exe (Trojan Horse) SYSTEM-Rechte erlangen. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – der Angriff setzt lokalen Zugriff voraus. Empfohlene Massnahme: laut Quellbeschreibung auf UniFi Video 3.8.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2016-7792 — Ubiquiti UniFi: ungeschützter Datenbankzugriff erlaubt Manipulation</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-7792</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-7792</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ubiquiti Networks UniFi 5.2.7 beschränkt den Zugriff auf die Datenbank nicht, sodass entfernte Angreifer die Datenbank durch direkte Verbindung verändern können. CVSS-Basiswert: 8.8 (Hoch), Vektor CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – ausnutzbar aus dem angrenzenden Netz ohne Rechte oder Nutzerinteraktion mit voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Der Zugriff auf die Datenbank sollte netzseitig eingeschränkt werden.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Hoch</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2026-21634 — UniFi Protect: Überlauf im Discovery-Protokoll löst Neustart aus</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-21634</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-21634</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Angreifer mit Zugang zum angrenzenden Netz kann das Discovery-Protokoll der UniFi-Protect-Anwendung (Version 6.1.79 und früher) zum Überlauf bringen und so einen Neustart der Anwendung auslösen. CVSS-Basiswert: 6.5 (Mittel), Vektor CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H – aus dem angrenzenden Netz ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Auswirkung ausschliesslich auf die Verfügbarkeit. Empfohlene Massnahme: Update der UniFi-Protect-Anwendung auf Version 6.2.72 oder neuer.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Mittel</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2020-8267 — Ubiquiti UniFi Protect: Authentifizierungsumgehung in der Controller-API</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-8267</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-8267</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der UniFi Protect Controller API (v1.14.10 und älter) wurde das x-token unsachgemäss verwendet, sodass Angreifer authentifizierte Nachrichten ohne gültiges Token an die API senden konnten. Betroffen sind laut Quelle UDM-Pro-Firmware 1.7.2 und älter sowie UNVR-Firmware 1.3.12 und älter; nicht betroffen sind Cloud Key Gen 2 Plus sowie UDM-Pro mit gestopptem UniFi Protect. CVSS-Basiswert: 5.3 (Mittel), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N. Empfohlene Massnahme: UniFi Protect auf v1.14.11 oder neuer aktualisieren, alternativ die UNVR-Firmware auf 1.3.15 bzw. die UDM-Pro-Firmware auf 1.8.0 oder neuer.

Severity: Mittel · CVSS: 5.3

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Mittel</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2020-8213 — UniFi Protect: Preisgabe gültiger Benutzernamen</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-8213</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-8213</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle in UniFi Protect vor v1.13.4-beta.5 erlaubt es nicht authentifizierten Angreifern, über HTTP-Antwortcodes und das Antwort-Timing gültige Benutzernamen der UniFi Protect Weboberfläche zu ermitteln. CVSS-Basiswert: 5.3 (Mittel). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Aktualisierung auf UniFi Protect v1.13.4-beta.5 oder neuer, in der die Schwachstelle behoben ist.

Severity: Mittel · CVSS: 5.3

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Mittel</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2018-5264 — Ubiquiti UniFi – Umgehung der Hotspot-Nutzungsbeschränkung</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-5264</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-5264</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ubiquiti UniFi 52 Geräte erlauben bei aktiviertem Hotspot-Modus entfernten Angreifern, die vorgesehene Beschränkung der kostenlosen WLAN-Nutzung zu umgehen: Über eine Anfrage an /guest/s/default/ lässt sich zunächst ein Cookie beziehen, das anschliessend in einer /guest/s/default/login-Anfrage mit dem Parameter byfree verwendet wird. CVSS-Basiswert: 5.9 (Mittel).

Severity: Mittel · CVSS: 5.9

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Mittel</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2014-2227 — Ubiquiti UniFi Video: Zu offene Flash-Cross-Domain-Policy</title>
      <link>https://feed.xonatec.ch/reports/cve-2014-2227</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2014-2227</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die standardmässige Flash-Cross-Domain-Policy (crossdomain.xml) in Ubiquiti Networks UniFi Video (früher AirVision beziehungsweise AirVision Controller) vor Version 3.0.1 beschränkt den Zugriff auf die Anwendung nicht. Dadurch können entfernte Angreifer über eine manipulierte SWF-Datei die Same-Origin-Policy umgehen. CVSS-Basiswert: 6 (Mittel). Empfohlene Massnahme: auf UniFi Video 3.0.1 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Mittel</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2013-3572 — Ubiquiti UniFi Controller: Cross-Site-Scripting in der Administrationsoberfläche</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-3572</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-3572</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Scripting-Schwachstelle (XSS) in der Administrationsoberfläche des UniFi Controllers in Ubiquiti Networks UniFi 2.3.5 und früher erlaubt entfernten Angreifern, über einen manipulierten Client-Hostnamen beliebiges Web-Skript oder HTML einzuschleusen. CVSS-Basiswert: 6.1 (Mittel).

Severity: Mittel · CVSS: 6.1

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Mittel</category><category>Ubiquiti</category>
    </item>
    <item>
      <title>CVE-2014-2226 — Ubiquiti UniFi Controller: Passwort-Hash im Syslog</title>
      <link>https://feed.xonatec.ch/reports/cve-2014-2226</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2014-2226</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Ubiquiti UniFi Controller vor Version 3.2.1 protokolliert den Hash des Administrator-Passworts in Syslog-Meldungen. Dadurch können Angreifer in einer Man-in-the-Middle-Position über nicht näher bestimmte Vektoren an sensible Informationen gelangen. CVSS-Basiswert: 2.6 (Niedrig). Empfohlene Massnahme: auf UniFi Controller 3.2.1 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 2.6

Betroffene Produkte: ubiquiti, unifi-protect</description>
      <category>Niedrig</category><category>Ubiquiti</category>
    </item>
  </channel>
</rss>
