La CVE-2026-22557 est une vulnérabilité de path traversal non authentifiée dans l'application réseau Ubiquiti UniFi Network, corrigée en mars 2026 mais dont la divulgation révèle une surface d'attaque massive : selon Censys, 87 196 contrôleurs UniFi étaient directement accessibles sur Internet au moment de la publication. Cette faille reçoit un score CVSS de 10.0 — le maximum théorique — car elle permet à un attaquant distant sans aucun compte valide de traverser le système de fichiers du contrôleur UniFi et de prendre le contrôle total du compte administrateur. Toutes les versions officielles jusqu'à la 10.1.85 et les release candidates jusqu'à la 10.2.93 sont vulnérables. Ubiquiti a publié les versions corrigées 10.1.89 et 10.2.97 ainsi que la mise à jour firmware UniFi Express 4.0.13. Une deuxième faille, CVE-2026-22558, permet une injection NoSQL authentifiée conduisant à une élévation de privilèges et a été corrigée dans le même correctif. L'absence de PoC public à la date de divulgation atténue légèrement le risque immédiat, mais l'ingénierie inverse du patch permettra rapidement à des acteurs malveillants de développer des exploits.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

En bref

  • UniFi Network Application ≤ 10.1.85 : prise de contrôle totale non authentifiée via path traversal
  • 87 000+ contrôleurs UniFi exposés sur Internet au moment de la divulgation
  • Action requise : mise à jour vers 10.1.89+ (officielle) ou 10.2.97+ (RC) immédiatement

Les faits

La CVE-2026-22557 exploite une faille de traversée de chemin (path traversal, CWE-22) dans l'interface web de l'application UniFi Network. Un attaquant non authentifié peut envoyer une requête HTTP spécialement formée qui contourne les contrôles d'accès et lui permet d'accéder à des fichiers arbitraires, y compris les données de session et les informations d'identification administrateur stockées sur le contrôleur. L'exploitation conduit à une prise de contrôle complète du compte administrateur du contrôleur UniFi. La faille a été découverte et signalée via HackerOne, puis patché par Ubiquiti. Le vecteur d'attaque est réseau, sans interaction utilisateur, sans authentification et sans conditions particulières (vecteur CVSS : AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), ce qui explique le score CVSS 10.0.

La CVE-2026-22558 (injection NoSQL authentifiée) complète l'arsenal : une fois qu'un attaquant dispose d'un compte de faibles privilèges, il peut escalader vers des droits d'administration complets. Selon l'analyse de Censys, 87 196 instances UniFi Network étaient directement accessibles sur Internet au moment de la divulgation — une surface d'attaque considérable pour un équipement réseau qui gère des infrastructures Wi-Fi critiques en entreprise, hôtellerie, santé et secteur public. Les versions corrigées sont disponibles sur le portail Ubiquiti Community.

Impact et exposition

Un contrôleur UniFi compromis donne à l'attaquant une visibilité et un contrôle total sur l'infrastructure réseau Wi-Fi gérée : consultation du trafic réseau, reconfiguration des VLAN, modification des politiques d'accès, déploiement de points d'accès malveillants, et potentiellement pivot vers le réseau interne. Dans les environnements où le contrôleur UniFi est exposé sur Internet pour permettre la gestion à distance, la compromission peut intervenir en quelques minutes après publication d'un PoC. Les secteurs les plus exposés sont l'hôtellerie (gestion Wi-Fi multi-sites), la santé (réseaux Wi-Fi hospitaliers), les PME ayant déployé UniFi sans segmentation réseau stricte, et les fournisseurs de services managés (MSP) gérant des contrôleurs clients.

La corrélation avec d'autres vulnérabilités récentes sur les équipements réseau — comme la CVE-2026-20131 sur Cisco FMC ou la CVE-2026-22719 sur VMware Aria — confirme une tendance : les consoles d'administration réseau exposées sur Internet sont des cibles prioritaires. Notre approche d'audit systématique des surfaces d'attaque couvre ce type d'exposition.

Recommandations

  • Mise à jour immédiate : UniFi Network Application 10.1.89+ (canal officiel) ou 10.2.97+ (RC). Firmware UniFi Express : 4.0.13+.
  • Restreignez l'accès : si l'accès distant au contrôleur est nécessaire, placez-le derrière un VPN ou restreignez l'accès aux seules IP de gestion autorisées.
  • Auditez vos logs : recherchez des requêtes HTTP anormales sur l'interface web du contrôleur avant la date du patch pour détecter une exploitation éventuelle.
  • MSP et multi-sites : priorisez les contrôleurs exposés directement sur Internet — ce sont vos instances les plus à risque.
  • Segmentation réseau : le contrôleur UniFi ne doit jamais être sur le même VLAN que les systèmes de production critiques.

Alerte critique

87 000 contrôleurs exposés sur Internet. CVSS 10.0 sans authentification. Dès qu'un PoC sera publié, l'exploitation de masse sera immédiate. Patchez maintenant ou coupez l'accès Internet au contrôleur.

Comment savoir si mon contrôleur UniFi est exposé sur Internet ?

Le port par défaut du contrôleur UniFi est 8443 (HTTPS) et 8080 (HTTP redirect). Vérifiez vos règles pare-feu et NAT pour détecter tout accès entrant sur ces ports depuis Internet. Vous pouvez également utiliser curl -sk https://[IP_publique]:8443 depuis un réseau externe pour tester. Si le portail de connexion UniFi est accessible, votre contrôleur est exposé. La bonne pratique est de n'autoriser l'accès au contrôleur que depuis un VPN ou des IP fixes de gestion. Après mise à jour, vérifiez la version affichée dans Paramètres > Système > Général.

À retenir

  • CVE-2026-22557 : CVSS 10.0, prise de contrôle non authentifiée des contrôleurs UniFi
  • 87 000+ instances exposées sur Internet au moment de la divulgation
  • Correctif disponible : UniFi Network Application 10.1.89+
  • À défaut de patch : couper l'accès Internet au contrôleur ou placer derrière VPN

Les équipements réseau d'administration exposés sur Internet constituent l'un des vecteurs d'intrusion les plus efficaces pour les attaquants. Un audit de sécurité de votre infrastructure réseau devrait systématiquement inclure la cartographie des consoles d'administration accessibles depuis l'extérieur.

Article suivant recommandé

TELUS Digital : ShinyHunters vole 1 pétaoctet de données →

ShinyHunters vole près d'un pétaoctet de données chez TELUS Digital via tokens OAuth compromis depuis la brèche Saleslof

Sources et références

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Termes clés

  • cyberattaque
  • ransomware
  • phishing
  • vulnérabilité

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.