In den Kameras aus der Produktreihe Unifi Protect sowie der zugehörigen Verwaltungsoberfläche klaffen kritische Sicherheitslücken. Angreifer können mit ihrer Hilfe Einstellungen auf den Geräten ändern und sogar eigene Kommandos ausführen.
Anzeige
Insgesamt fünf Sicherheitslücken veröffentlichte Unifi-Hersteller Ubiquiti in einem Sicherheitshinweis:
CVD-2025-23116 (CVSS 9,6, kritisch) erlaubt unter bestimmten Bedingungen, die Authentifizierung bei der Unifi Protect Application auszutricksen und Kameras fernzusteuernCVE-2025-23115 (CVSS 9,0, kritisch), eine "Use After Free"-Lücke, könnte von Angreifern ohne vorherige Anmeldung zum Einschleusen eigenen Codes auf einer Kamera genutzt werdenCVE-2025-23119 (CVSS 7,5, hoch) bietet eine weitere Möglichkeit für einen angemeldeten Angreifer, Code auf einer Unifi-Kamera auszuführenCVD-2025-23117 (CVSS 6,8, mittel) wurde für eine unzureichende Überprüfung von Firmwareupdates vergeben, über die Angreifer Kameras unbefugt manipulieren könnenCVE-2025-23118 (CVSS 6,4, mittel): Ungenügende Zertifikatsprüfung erlaubt einem Angreifer mit gültiger Nutzerkennung, unbefugte Änderungen an Kameras durchzuführenDie Sicherheitslücken betreffen alle Versionen, einschließlich 4.74.88 der Unifi-Protect-Cameras und die Unifi Protect Application in Version 5.2.46 oder früher.
Admins sollten auf die fehlerbereinigten Versionen wechseln. Das ist bei Unifi Protect Application Version 5.2.49 oder neuer, für die Kameras ist Version 4.74.106 zumindest um die vorgenannten Fehler ärmer. Zuletzt hatte der Hersteller im Oktober 2024 schwere Sicherheitslücken in einem seiner Produkte zu beklagen.
(
Kommentare