CVE-2026-22557 (CVSS 10.0) : path traversal non authentifié dans Ubiquiti UniFi ≤ 10.1.85 permet une prise de contrôle totale. 87 000 contrôleurs exposés sur Internet. Mise à jour vers 10.1.89 requise immédiatement.
La CVE-2026-22557 est une vulnérabilité de path traversal non authentifiée dans l'application réseau Ubiquiti UniFi Network, corrigée en mars 2026 mais dont la divulgation révèle une surface d'attaque massive : selon Censys, 87 196 contrôleurs UniFi étaient directement accessibles sur Internet au moment de la publication. Cette faille reçoit un score CVSS de 10.0 — le maximum théorique — car elle permet à un attaquant distant sans aucun compte valide de traverser le système de fichiers du contrôleur UniFi et de prendre le contrôle total du compte administrateur. Toutes les versions officielles jusqu'à la 10.1.85 et les release candidates jusqu'à la 10.2.93 sont vulnérables. Ubiquiti a publié les versions corrigées 10.1.89 et 10.2.97 ainsi que la mise à jour firmware UniFi Express 4.0.13. Une deuxième faille, CVE-2026-22558, permet une injection NoSQL authentifiée conduisant à une élévation de privilèges et a été corrigée dans le même correctif. L'absence de PoC public à la date de divulgation atténue légèrement le risque immédiat, mais l'ingénierie inverse du patch permettra rapidement à des acteurs malveillants de développer des exploits.
En bref
- UniFi Network Application ≤ 10.1.85 : prise de contrôle totale non authentifiée via path traversal
- 87 000+ contrôleurs UniFi exposés sur Internet au moment de la divulgation
- Action requise : mise à jour vers 10.1.89+ (officielle) ou 10.2.97+ (RC) immédiatement
Les faits
La CVE-2026-22557 exploite une faille de traversée de chemin (path traversal, CWE-22) dans l'interface web de l'application UniFi Network. Un attaquant non authentifié peut envoyer une requête HTTP spécialement formée qui contourne les contrôles d'accès et lui permet d'accéder à des fichiers arbitraires, y compris les données de session et les informations d'identification administrateur stockées sur le contrôleur. L'exploitation conduit à une prise de contrôle complète du compte administrateur du contrôleur UniFi. La faille a été découverte et signalée via HackerOne, puis patché par Ubiquiti. Le vecteur d'attaque est réseau, sans interaction utilisateur, sans authentification et sans conditions particulières (vecteur CVSS : AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), ce qui explique le score CVSS 10.0.
La CVE-2026-22558 (injection NoSQL authentifiée) complète l'arsenal : une fois qu'un attaquant dispose d'un compte de faibles privilèges, il peut escalader vers des droits d'administration complets. Selon l'analyse de Censys, 87 196 instances UniFi Network étaient directement accessibles sur Internet au moment de la divulgation — une surface d'attaque considérable pour un équipement réseau qui gère des infrastructures Wi-Fi critiques en entreprise, hôtellerie, santé et secteur public. Les versions corrigées sont disponibles sur le portail Ubiquiti Community.
Impact et exposition
Un contrôleur UniFi compromis donne à l'attaquant une visibilité et un contrôle total sur l'infrastructure réseau Wi-Fi gérée : consultation du trafic réseau, reconfiguration des VLAN, modification des politiques d'accès, déploiement de points d'accès malveillants, et potentiellement pivot vers le réseau interne. Dans les environnements où le contrôleur UniFi est exposé sur Internet pour permettre la gestion à distance, la compromission peut intervenir en quelques minutes après publication d'un PoC. Les secteurs les plus exposés sont l'hôtellerie (gestion Wi-Fi multi-sites), la santé (réseaux Wi-Fi hospitaliers), les PME ayant déployé UniFi sans segmentation réseau stricte, et les fournisseurs de services managés (MSP) gérant des contrôleurs clients.
La corrélation avec d'autres vulnérabilités récentes sur les équipements réseau — comme la CVE-2026-20131 sur Cisco FMC ou la CVE-2026-22719 sur VMware Aria — confirme une tendance : les consoles d'administration réseau exposées sur Internet sont des cibles prioritaires. Notre approche d'audit systématique des surfaces d'attaque couvre ce type d'exposition.
Recommandations
- Mise à jour immédiate : UniFi Network Application 10.1.89+ (canal officiel) ou 10.2.97+ (RC). Firmware UniFi Express : 4.0.13+.
- Restreignez l'accès : si l'accès distant au contrôleur est nécessaire, placez-le derrière un VPN ou restreignez l'accès aux seules IP de gestion autorisées.
- Auditez vos logs : recherchez des requêtes HTTP anormales sur l'interface web du contrôleur avant la date du patch pour détecter une exploitation éventuelle.
- MSP et multi-sites : priorisez les contrôleurs exposés directement sur Internet — ce sont vos instances les plus à risque.
- Segmentation réseau : le contrôleur UniFi ne doit jamais être sur le même VLAN que les systèmes de production critiques.
Alerte critique
87 000 contrôleurs exposés sur Internet. CVSS 10.0 sans authentification. Dès qu'un PoC sera publié, l'exploitation de masse sera immédiate. Patchez maintenant ou coupez l'accès Internet au contrôleur.
Comment savoir si mon contrôleur UniFi est exposé sur Internet ?
Le port par défaut du contrôleur UniFi est 8443 (HTTPS) et 8080 (HTTP redirect). Vérifiez vos règles pare-feu et NAT pour détecter tout accès entrant sur ces ports depuis Internet. Vous pouvez également utiliser curl -sk https://[IP_publique]:8443 depuis un réseau externe pour tester. Si le portail de connexion UniFi est accessible, votre contrôleur est exposé. La bonne pratique est de n'autoriser l'accès au contrôleur que depuis un VPN ou des IP fixes de gestion. Après mise à jour, vérifiez la version affichée dans Paramètres > Système > Général.
À retenir
- CVE-2026-22557 : CVSS 10.0, prise de contrôle non authentifiée des contrôleurs UniFi
- 87 000+ instances exposées sur Internet au moment de la divulgation
- Correctif disponible : UniFi Network Application 10.1.89+
- À défaut de patch : couper l'accès Internet au contrôleur ou placer derrière VPN
Les équipements réseau d'administration exposés sur Internet constituent l'un des vecteurs d'intrusion les plus efficaces pour les attaquants. Un audit de sécurité de votre infrastructure réseau devrait systématiquement inclure la cartographie des consoles d'administration accessibles depuis l'extérieur.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires (1)
Laisser un commentaire