Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4088
)
-
▼
mayo
(Total:
785
)
-
LibreOffice critica formato de Microsoft y desata ...
-
PC gaming extremo con 13 pantallas internas, 15.00...
-
Ubiquiti parchea vulnerabilidades críticas de UniF...
-
Chrome en riesgo por nueva vulnerabilidad crítica ...
-
Descubren que las claves de API de Google siguen a...
-
Firefox Nova: el gran rediseño del navegador libre
-
El navegador Vivaldi 8.0 se renueva
-
La memoria es un 435% más cara en los racks de ser...
-
Lenovo vende consola con juegos piratas en China
-
El FBI alerta sobre Kali365 ante el aumento del ph...
-
Google expone fallo grave en Chromium
-
Discord activa cifrado de extremo a extremo en vid...
-
YouTube Premium Lite gratis con el plan Google AI Pro
-
España y LaLiga bajo sospecha por incumplir la DSA
-
NVIDIA se lanza a por el mercado CPU con Vera y am...
-
Las CORSAIR Vengeance DDR5 se actualizan en silenc...
-
La IA no reemplazará todos los empleos
-
Detenido en Canadá el operador de la botnet Kimwol...
-
ZeroWriter Fold: el portátil solo para escribir
-
RHEL 10.2 potencia IA, modo imagen y seguridad pos...
-
Vulnerabilidades críticas en Chrome permiten ejecu...
-
SUSE pide a la UE priorizar el código abierto
-
Nvidia superará a Intel y AMD en CPUs
-
Policía interviene el servicio “First VPN”, utiliz...
-
Robots de Figure clasifican paquetes sin pausa
-
PC con RTX 5080 silencioso termina siendo un horno
-
Fraude de clics en Android: 455 apps maliciosas
-
Data Brokers de la Dark Web venden filtraciones an...
-
Requisitos mínimos de GTA VI para PC
-
PS5 hackeada ejecuta Linux y juegos AAA
-
Malware TamperedChef usa apps productivas firmadas...
-
Nuevos 0-days de Microsoft Defender explotados act...
-
Vulnerabilidad de 9 años en el kernel de Linux per...
-
Demandan a Team Group por 1,1 millones debido a pu...
-
Sound Blaster AE-X: Creative vuelve al mercado de ...
-
AMD responde a NVIDIA y Apple con Ryzen AI Halo: u...
-
Vulnerabilidad crítica de Cisco Secure Workload pe...
-
AMD Ryzen AI Halo: IA local en tu PC
-
TDF defiende ODF frente a Microsoft
-
Guía de Windows 11 Insider
-
Una wikipedia de tu vida para dejar un buen legado...
-
Google crea mundos reales con IA con Project Genie
-
Publicado exploit PoC de vulnerabilidad DirtyDecry...
-
OpenAI planea salir a bolsa con valoración récord
-
Starlink sube precios en España
-
Publicidad intrusiva en Android Auto via Google Maps
-
Nuevos juegos en GeForce Now
-
Stroustrup critica la lentitud de Python frente a C++
-
Flipper presenta el nuevo Flipper One Modular Linu...
-
DIGI llega al Reino Unido
-
Botnet Void usa contratos inteligentes de Ethereum...
-
IA ya supera el Test de Turing
-
Filtradas 46 mil contraseñas en texto plano tras b...
-
Microsoft alerta sobre dos vulnerabilidades de Def...
-
Vulnerabilidad en Claude Code expone credenciales ...
-
OpenAI resuelve problema matemático de hace 80 años
-
Nvidia ya no reporta ventas de gráficas como segme...
-
Malware BadIIS secuestra servidores IIS y redirige...
-
Filtrados repositorios internos de GitHub mediante...
-
Google reinventa la búsqueda con IA
-
Microsoft libera herramientas de código abierto pa...
-
Microsoft desactiva el servicio de firmas de malwa...
-
Vulnerabilidad crítica en Drupal Core
-
Vulnerabilidad de FreePBX permite acceso a portale...
-
Fallo de escalada de privilegios en Pardus Linux p...
-
Vulnerabilidad de ExifTool permite comprometer Mac...
-
Dos ejecutivos estadounidenses se declaran culpabl...
-
Demanda de 100 millones contra Pizza Hut por siste...
-
Nuevo ataque GhostTree bloquea EDR y evita análisi...
-
Revolut detecta usuarios de IPTV pirata mediante l...
-
Extension maliciosa de Nx Console para VS Code com...
-
AMD presenta los procesadores EPYC 8005 «Sorano» c...
-
Nueva vulnerabilidad de NGINX en JavaScript (njs) ...
-
Teleyeglasses: el origen de las gafas inteligentes
-
NASA sufre estafa de phishing china
-
Netflix dificulta la búsqueda de contenido
-
En la India usan páginas falsas de impuestos para ...
-
FBI: Las estafas con cajeros de criptomonedas cost...
-
Nueva IA crea canciones en segundos
-
Microsoft desmantela red de firmas de malware util...
-
La GPU Lisuan LX 7G100 Founders Edition: GPU china...
-
Operación Ramz incauta 53 servidores vinculados a ...
-
Los usuarios de PC apenas compran placas base, las...
-
Desmantelan red de fraude publicitario en Android ...
-
Nuevo RPG del Señor de los Anillos
-
Microsoft libera RAMPART y Clarity para reforzar l...
-
Vulnerabilidad PinTheft en Linux permite acceso ro...
-
Fedora elimina paquetes de Deepin por seguridad
-
Heroic Launcher mejora modo consola y personalización
-
Laurene Powell, viuda de Steve Jobs, ha gastado má...
-
Bots representan el 53% del tráfico web global
-
Filtración en Grafana provocada por falta de rotac...
-
IA reemplazará Python pero no toda la programación
-
GitHub confirma robo masivo de repositorios internos
-
Discord implementa el cifrado de extremo a extremo...
-
Intel Crescent Island: así será la tarjeta gráfica...
-
Google Pics revoluciona la edición de imágenes con IA
-
Meta reubica a 7.000 empleados en IA
-
Webworm utiliza Discord y la API de MS Graph para ...
-
The Gentlemen Ransomware ataca Windows, Linux, NAS...
-
-
▼
mayo
(Total:
785
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Existen cuatro videojuegos diseñados para aprender Linux desde cero o mejorar conocimientos mediante retos prácticos y divertidos . -
Se ha revelada una vulnerabilidad crítica en el kernel de Linux, identificada como CVE-2026-46333 y apodada “ssh-keysign-pwn” . Este fallo ...
Ubiquiti parchea vulnerabilidades críticas de UniFi OS que permiten escalada de privilegios remota
Ubiquiti Networks ha lanzado actualizaciones de seguridad urgentes para solucionar una serie de vulnerabilidades altamente críticas que afectan a su plataforma UniFi OS.
Estos fallos graves podrían permitir que atacantes remotos y no autenticados ejecuten código arbitrario, escalen privilegios y comprometan seriamente la infraestructura de red empresarial.
En total, el proveedor de hardware ha parcheado cinco problemas de seguridad distintos, tres de los cuales tienen una puntuación de gravedad máxima de 10.0 en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS v3.1).
Las vulnerabilidades recién reveladas afectan a una flota masiva de dispositivos de hardware de Ubiquiti que se utilizan ampliamente tanto en entornos corporativos como para prosumidores. Las líneas de productos afectadas incluyen la serie UniFi Cloud Gateway (UCG), los dispositivos UniFi Dream Machine (UDM), los Grabadores de Vídeo de Red UniFi (UNVR) y el software principal UniFi OS Server.
Debido a la ubicación de estos dispositivos en el borde de las redes, una explotación exitosa podría conceder a los actores de amenazas un acceso sin restricciones a los segmentos de red internos y a los endpoints conectados.
Se recomienda encarecidamente a los administradores de red que revisen inmediatamente su inventario de hardware y apliquen las actualizaciones de firmware necesarias.
La extrema gravedad de los fallos de inyección de comandos no autenticada y de salto de directorio (path traversal) significa que las interfaces de gestión expuestas a Internet corren un riesgo inminente de ser explotadas por actores de amenazas oportunistas, botnets y afiliados de ransomware que busquen vectores de acceso inicial.
El formato de este artículo sigue tus directrices técnicas preferidas, evitando específicamente las tablas para presentar los datos en un flujo narrativo.
Fallos de Máxima Gravedad de UniFi OS
Tres de las vulnerabilidades parcheadas en este ciclo tienen una calificación de 10.0 en la escala CVSS, lo que indica capacidades de ejecución remota de código no autenticada y sin interacción del usuario (zero-click).
La primera, identificada como CVE-2026-34908 y descubierta por el investigador Duc Anh Nguyen (@heckintosh_), implica una debilidad de control de acceso inadecuado.
Este fallo permite que un actor malicioso con simple acceso a la red realice cambios drásticos y no autorizados en el sistema operativo UniFi subyacente sin requerir ninguna credencial de autenticación.
Igualmente crítica es la CVE-2026-34909, una vulnerabilidad de salto de directorio identificada por Abdulaziz Almadhi de Catchify Security. Al explotar esta debilidad, los atacantes no autenticados pueden atravesar el directorio de archivos para leer archivos sensibles en el sistema anfitrión.
Estos archivos pueden ser manipulados posteriormente para obtener acceso no autorizado a una cuenta del sistema subyacente, logrando así el compromiso total del dispositivo. El tercer error de máxima gravedad, CVE-2026-34910, fue reportado por John Carroll.
Esta vulnerabilidad se deriva de una validación de entrada incorrecta dentro del entorno de UniFi OS. Atacantes remotos o adyacentes a la red pueden aprovechar este fallo para ejecutar una inyección de comandos arbitraria, lo que les permite ejecutar código malicioso con privilegios de nivel de sistema.
Inyección de Comandos y Exposición de Gravedad Alta
Junto con los problemas de máxima gravedad, Ubiquiti solucionó dos vulnerabilidades adicionales que requieren distintos niveles de autenticación previa.
Identificada como CVE-2026-33000 con una puntuación CVSS de 9.1, un fallo permite que atacantes con altos privilegios exploten una validación de entrada incorrecta para la inyección de comandos.
Descubierta por un investigador conocido como V3rlust, esta vulnerabilidad sirve principalmente como un mecanismo de escalada de privilegios post-compromiso o de persistencia para atacantes que ya han vulnerado una cuenta administrativa.
Además, la CVE-2026-34911, descubierta por Hakai Security, es un problema de salto de directorio de gravedad alta (CVSS 7.7). A diferencia del fallo de salto de 10.0 mencionado anteriormente, esta vulnerabilidad específica requiere que el atacante posea privilegios de bajo nivel.
Una vez autenticado, el atacante puede navegar fuera de los directorios restringidos para acceder a archivos sensibles del sistema, los cuales podrían ser utilizados para un mayor movimiento lateral o la exfiltración de datos en el entorno objetivo.
Actualizaciones de Firmware
Ubiquiti ha implementado parches exhaustivos en todo su ecosistema de hardware para mitigar estas graves amenazas. Los administradores que gestionen UCG-Industrial, la serie UDM, variantes de UNVR y modelos específicos de UCG deben actualizar su firmware a la Versión 5.1.12 o posterior.
Dispositivos como el UDR-5G, ENVR-Core y los modelos empresariales UCK también requieren una actualización inmediata a la Versión 5.1.12.
Para despliegues independientes, el software UniFi OS Server debe actualizarse a la Versión 5.0.8 o posterior. Otros dispositivos de hardware específicos, incluida la serie de almacenamiento conectado a la red UNAS, han recibido parches en la Versión 5.1.10, mientras que los modelos Express deben actualizarse a la 4.0.14.
Debes asegurarte de que las interfaces de gestión estén estrictamente segregadas del acceso público a Internet y que estas actualizaciones se apliquen inmediatamente para evitar la explotación remota.
Fuentes:
https://cybersecuritynews.com/unifi-os-vulnerabilities-privilege-escalation/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.