Uma nova vulnerabilidade de gravidade extrema, classificada com a nota máxima CVSS 10.0, abalou ecossistemas corporativos nesta semana. A falha, registrada como CVE-2026-22557, atinge o software UniFi Network Application e permite o sequestro total do gerenciamento da infraestrutura.
O problema baseia-se em uma limitação falha de manipulação de caminhos de diretório (Path Traversal, classificada como CWE-22). Essa brecha de segurança ocorre no plano de controle e significa que atacantes na rede podem manipular e acessar dados arbitrários sem precisar de uma conta ou de interação da vítima.
As consequências de uma exploração bem-sucedida são catastróficas para os ambientes gerenciados. Uma vez explorada, o agente da ameaça adquire acesso contínuo ao servidor da aplicação, podendo comprometer credenciais administrativas subjacentes, alterar configurações de roteamento e redirecionar tráfego internamente.
Como o software vulnerável geralmente não expõe a sua versão em verificações externas básicas, as equipes de resposta a incidentes (SOC) enfrentam dificuldades para varrer a internet globalmente em busca de servidores desprotegidos. A mitigação absoluta depende de um inventário interno exato e da atualização imediata fornecida pelo fabricante.
Sistemas Afetados
- UniFi Network Application
- Planos de controle de rede (Control Plane)
Fonte: Penligent / NVD
Ler fonte original