Dutch follows English
On 21 May 2026, Ubiquiti disclosed five critical security vulnerabilities affecting their UniFi OS devices [1]. Today, 24 June 2026, the CISA published that 3 of these vulnerabilities are actively exploited [2]. These vulnerabilities affected routers, gateways, and network storage systems. Four of these vulnerabilities allow attackers on your network to take complete control of your devices without needing any login credentials, while a fifth allows theft of sensitive information with minimal access.
On 21 May 2026, Ubiquiti disclosed five critical security vulnerabilities affecting their UniFi OS devices [1]. Today, 24 June 2026, the CISA published that 3 of these vulnerabilities are actively exploited [2]. These vulnerabilities affected routers, gateways, and network storage systems. Four of these vulnerabilities allow attackers on your network to take complete control of your devices without needing any login credentials, while a fifth allows theft of sensitive information with minimal access.
Description
Ubiquiti released Security Advisory Bulletin 064 on May 21, 2026, disclosing five vulnerabilities in UniFi OS devices. These include improper access control (CVE-2026-34908), path traversal flaws (CVE-2026-34909, CVE-2026-34911), and command injection vulnerabilities (CVE-2026-33000, CVE-2026-34910). The vulnerabilities affect a wide range of Ubiquiti products including Dream Machines, Cloud Gateways, Network Video Recorders, and Cloud Keys running various versions of UniFi OS.
Ubiquiti released Security Advisory Bulletin 064 on May 21, 2026, disclosing five vulnerabilities in UniFi OS devices. These include improper access control (CVE-2026-34908), path traversal flaws (CVE-2026-34909, CVE-2026-34911), and command injection vulnerabilities (CVE-2026-33000, CVE-2026-34910). The vulnerabilities affect a wide range of Ubiquiti products including Dream Machines, Cloud Gateways, Network Video Recorders, and Cloud Keys running various versions of UniFi OS.
Impact
We estimate the impact of these vulnerabilities as critical.Three of the five vulnerabilities (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) received the maximum severity score of 10.0 Critical. Attackers with network access can exploit these flaws without any credentials to execute commands, make unauthorized system changes, and access sensitive files. This means an attacker could gain complete control over your network devices, intercept traffic, steal data, or use compromised devices to attack other systems.The vulnerability (CVE-2026-34911) scores 7.7 High and allows attackers with low-level access to steal sensitive information. The vulnerability (CVE-2026-33000) scores 9.1 High and allows attackers with high privileges to perform remote command injection.
We estimate the impact of these vulnerabilities as critical.Three of the five vulnerabilities (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) received the maximum severity score of 10.0 Critical. Attackers with network access can exploit these flaws without any credentials to execute commands, make unauthorized system changes, and access sensitive files. This means an attacker could gain complete control over your network devices, intercept traffic, steal data, or use compromised devices to attack other systems.The vulnerability (CVE-2026-34911) scores 7.7 High and allows attackers with low-level access to steal sensitive information. The vulnerability (CVE-2026-33000) scores 9.1 High and allows attackers with high privileges to perform remote command injection.
Risk
We estimate the risk of these vulnerabilities as high. Three of the five vulnerabilities that also have maximum score of 10.0 (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) are since today, 24 June 2026, on the CISA Known Exploited Vulnerability list, and therefore known to be actively exploited.While these vulnerabilities require the attacker to have network access, they require no authentication and are easy to exploit once network access is achieved. Given that these devices sit at critical points in your network infrastructure (routers, gateways), successful exploitation would provide attackers with persistent access and control over your entire network. Patches are available from Ubiquiti, which reduces the risk for organisations that can apply updates promptly.
We estimate the risk of these vulnerabilities as high. Three of the five vulnerabilities that also have maximum score of 10.0 (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) are since today, 24 June 2026, on the CISA Known Exploited Vulnerability list, and therefore known to be actively exploited.While these vulnerabilities require the attacker to have network access, they require no authentication and are easy to exploit once network access is achieved. Given that these devices sit at critical points in your network infrastructure (routers, gateways), successful exploitation would provide attackers with persistent access and control over your entire network. Patches are available from Ubiquiti, which reduces the risk for organisations that can apply updates promptly.
Mitigation
Ubiquiti has released patched versions for all affected products. Update your devices to the following versions or later:
Immediately update all Ubiquiti UniFi OS devices to the latest patched versions. Check your device inventory against the affected product list in the bulletin. If you cannot update immediately, consider isolating these devices on a separate management network segment with restricted access until patches can be applied. Review your network access logs for any suspicious activity on these devices.
Ubiquiti has released patched versions for all affected products. Update your devices to the following versions or later:
- UniFi OS Server: Version 5.0.8
- Cloud Gateways, Dream Machines, and Network Video Recorders: Version 5.1.12
- Network Attached Storage devices: Version 5.1.10
- UDM-Beast: Version 5.1.11
- Express: Version 4.0.14
Immediately update all Ubiquiti UniFi OS devices to the latest patched versions. Check your device inventory against the affected product list in the bulletin. If you cannot update immediately, consider isolating these devices on a separate management network segment with restricted access until patches can be applied. Review your network access logs for any suspicious activity on these devices.
What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can contact us by phone or send us an email if you would like additional information.
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can contact us by phone or send us an email if you would like additional information.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
Op 21 mei 2026 heeft Ubiquiti vijf kritieke beveiligingskwetsbaarheden openbaar gemaakt die van invloed zijn op hun UniFi OS-apparaten [1]. Vandaag, 24 juni 2026, heeft CISA bekendgemaakt dat 3 van deze kwetsbaarheden actief worden misbruikt [2]. Deze kwetsbaarheden treffen routers, gateways en netwerkopslagsystemen. Vier van deze kwetsbaarheden stellen aanvallers op uw netwerk in staat om volledige controle over uw apparaten te krijgen zonder inloggegevens, terwijl een vijfde kwetsbaarheid het mogelijk maakt om gevoelige informatie te stelen met minimale toegang.
Beschrijving
Ubiquiti heeft op 21 mei 2026 beveiligingsbulletin 064 uitgebracht, waarin vijf kwetsbaarheden in UniFi OS-apparaten worden beschreven. Dit omvat onjuiste toegangscontrole (CVE-2026-34908), path traversal-kwetsbaarheden (CVE-2026-34909, CVE-2026-34911) en command injection-kwetsbaarheden (CVE-2026-33000, CVE-2026-34910). De kwetsbaarheden treffen een breed scala aan Ubiquiti-producten, waaronder Dream Machines, Cloud Gateways, Network Video Recorders en Cloud Keys die verschillende versies van UniFi OS draaien.
Ubiquiti heeft op 21 mei 2026 beveiligingsbulletin 064 uitgebracht, waarin vijf kwetsbaarheden in UniFi OS-apparaten worden beschreven. Dit omvat onjuiste toegangscontrole (CVE-2026-34908), path traversal-kwetsbaarheden (CVE-2026-34909, CVE-2026-34911) en command injection-kwetsbaarheden (CVE-2026-33000, CVE-2026-34910). De kwetsbaarheden treffen een breed scala aan Ubiquiti-producten, waaronder Dream Machines, Cloud Gateways, Network Video Recorders en Cloud Keys die verschillende versies van UniFi OS draaien.
Impact
Wij schatten de impact van deze kwetsbaarheden als kritiek.Drie van de vijf kwetsbaarheden (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) hebben de maximale ernstscore van 10.0 (Critical) gekregen. Aanvallers met netwerktoegang kunnen deze kwetsbaarheden zonder enige inloggegevens misbruiken om opdrachten uit te voeren, ongeautoriseerde systeemwijzigingen door te voeren en toegang te krijgen tot gevoelige bestanden. Dit betekent dat een aanvaller volledige controle over uw netwerkapparaten kan verkrijgen, verkeer kan onderscheppen, data kan stelen of gecompromitteerde apparaten kan gebruiken om andere systemen aan te vallen.De kwetsbaarheid (CVE-2026-34911) heeft een score van 7.7 (High) en stelt aanvallers met beperkte toegang in staat om gevoelige informatie te stelen. De kwetsbaarheid (CVE-2026-33000) heeft een score van 9.1 (High) en stelt aanvallers met hoge privileges in staat om op afstand command injection uit te voeren.
Wij schatten de impact van deze kwetsbaarheden als kritiek.Drie van de vijf kwetsbaarheden (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) hebben de maximale ernstscore van 10.0 (Critical) gekregen. Aanvallers met netwerktoegang kunnen deze kwetsbaarheden zonder enige inloggegevens misbruiken om opdrachten uit te voeren, ongeautoriseerde systeemwijzigingen door te voeren en toegang te krijgen tot gevoelige bestanden. Dit betekent dat een aanvaller volledige controle over uw netwerkapparaten kan verkrijgen, verkeer kan onderscheppen, data kan stelen of gecompromitteerde apparaten kan gebruiken om andere systemen aan te vallen.De kwetsbaarheid (CVE-2026-34911) heeft een score van 7.7 (High) en stelt aanvallers met beperkte toegang in staat om gevoelige informatie te stelen. De kwetsbaarheid (CVE-2026-33000) heeft een score van 9.1 (High) en stelt aanvallers met hoge privileges in staat om op afstand command injection uit te voeren.
Risico
Wij schatten het risico van deze kwetsbaarheden als hoog.Drie van de vijf kwetsbaarheden met de maximale score van 10.0 (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) staan sinds vandaag, 24 juni 2026, op de CISA Known Exploited Vulnerabilities-lijst en worden dus aantoonbaar actief misbruikt.Hoewel deze kwetsbaarheden vereisen dat een aanvaller netwerktoegang heeft, is geen authenticatie nodig en zijn ze eenvoudig te misbruiken zodra toegang tot het netwerk is verkregen. Aangezien deze apparaten zich op cruciale punten in uw netwerkinfrastructuur bevinden (zoals routers en gateways), kan succesvolle exploitatie leiden tot permanente toegang en controle over uw volledige netwerk. Er zijn patches beschikbaar van Ubiquiti, wat het risico verlaagt voor organisaties die updates tijdig kunnen uitvoeren.
Mitigatie
Ubiquiti heeft gepatchte versies uitgebracht voor alle getroffen producten. Werk uw apparaten bij naar de volgende versies of nieuwer:
Wij schatten het risico van deze kwetsbaarheden als hoog.Drie van de vijf kwetsbaarheden met de maximale score van 10.0 (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) staan sinds vandaag, 24 juni 2026, op de CISA Known Exploited Vulnerabilities-lijst en worden dus aantoonbaar actief misbruikt.Hoewel deze kwetsbaarheden vereisen dat een aanvaller netwerktoegang heeft, is geen authenticatie nodig en zijn ze eenvoudig te misbruiken zodra toegang tot het netwerk is verkregen. Aangezien deze apparaten zich op cruciale punten in uw netwerkinfrastructuur bevinden (zoals routers en gateways), kan succesvolle exploitatie leiden tot permanente toegang en controle over uw volledige netwerk. Er zijn patches beschikbaar van Ubiquiti, wat het risico verlaagt voor organisaties die updates tijdig kunnen uitvoeren.
Mitigatie
Ubiquiti heeft gepatchte versies uitgebracht voor alle getroffen producten. Werk uw apparaten bij naar de volgende versies of nieuwer:
- UniFi OS Server: versie 5.0.8
- Cloud Gateways, Dream Machines en Network Video Recorders: versie 5.1.12
- Network Attached Storage-apparaten: versie 5.1.10
- UDM-Beast: versie 5.1.11
- Express: versie 4.0.14
Wat moet u doen?
Werk onmiddellijk alle Ubiquiti UniFi OS-apparaten bij naar de meest recente gepatchte versies. Controleer uw inventaris van apparaten met de lijst van getroffen producten in het bulletin. Als u niet direct kunt updaten, overweeg dan om deze apparaten te isoleren in een apart beheernetwerksegment met beperkte toegang totdat de patches kunnen worden toegepast. Controleer daarnaast uw netwerk logs op verdachte activiteiten op deze apparaten.
Werk onmiddellijk alle Ubiquiti UniFi OS-apparaten bij naar de meest recente gepatchte versies. Controleer uw inventaris van apparaten met de lijst van getroffen producten in het bulletin. Als u niet direct kunt updaten, overweeg dan om deze apparaten te isoleren in een apart beheernetwerksegment met beperkte toegang totdat de patches kunnen worden toegepast. Controleer daarnaast uw netwerk logs op verdachte activiteiten op deze apparaten.
Wat zal Northwave doen?
Wij blijven de ontwikkelingen rond deze kwetsbaarheid monitoren. Mocht er nieuwe kritieke informatie over deze dreiging ontstaan, dan nemen wij contact met u op. U kunt ons telefonisch of per e‑mail benaderen als u aanvullende informatie wenst.
Wij blijven de ontwikkelingen rond deze kwetsbaarheid monitoren. Mocht er nieuwe kritieke informatie over deze dreiging ontstaan, dan nemen wij contact met u op. U kunt ons telefonisch of per e‑mail benaderen als u aanvullende informatie wenst.
E-mail: soc@northwave-cybersecurity.com
Heeft u op dit moment een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer van toepassing, zie hieronder.
Bronnen
Disclaimer
Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.