つみかさね

CVE-2026-22563

Critical(9.8)

CVE-2026-22563 — UniFi Play コマンドインジェクション

公開日: 2026-05-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
UniFi Play PowerAmpUbiquiti1.0.35以前
UniFi Play Audio PortUbiquiti1.0.24以前

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1ファームウェアバージョンを確認する
  2. 2PowerAmp 1.0.38 / Audio Port 1.1.9以降へアップデートする
  3. 3ネットワークセグメンテーションの確認を行う

影響対象

UniFi Play利用者

補足

  • -認証不要でネットワーク経由から悪用可能なためアップデートを最優先とする
CVEUniFiUbiquitiコマンドインジェクション

概要

Ubiquiti製UniFi Play製品に、入力検証の不備(CWE-20)に起因するコマンドインジェクション脆弱性が存在します。UniFi Playネットワークへのアクセス権を持つ悪意ある攻撃者が、この脆弱性を悪用して任意のコマンドをデバイス上で実行できます。

本脆弱性はUniFi Play PowerAmp(バージョン1.0.35以前)およびUniFi Play Audio Port(バージョン1.0.24以前)に影響します。認証不要でネットワーク経由から攻撃可能なため、CVSSスコアは最高クラスの9.8(Critical)と評価されています。

同一のUbiquiti Security Advisory(Bulletin-063)には、パストラバーサル(CVE-2026-22562)およびアクセス制御不備(CVE-2026-22564)も含まれており、いずれもCVSS 9.8です。最新ファームウェアへの速やかなアップデートを強く推奨します。

CVSSベクトル

指標
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベル不要
ユーザー操作不要
CWECWE-20(入力検証の不備)

影響を受けるソフトウェア

製品ベンダー影響バージョン
UniFi Play PowerAmpUbiquiti1.0.35以前
UniFi Play Audio PortUbiquiti1.0.24以前

修正バージョンと回避策

  • 修正: UniFi Play PowerAmp 1.0.38 以降、UniFi Play Audio Port 1.1.9 以降へアップデート
  • 回避策: UniFi PlayデバイスへのネットワークアクセスをファイアウォールやVLANで制限する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-22562UniFi Play パストラバーサルCVSS 9.8CVE-2026-22564UniFi Play 不正アクセス制御CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-22563
Ubiquiti Advisory:https://community.ui.com/releases/Security-Advisory-Bulletin-063/e468dd4b-5090-4ef8-89d8-939903c08e83
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。