つみかさね

CVE-2026-22564

Critical(9.8)

CVE-2026-22564 — UniFi Play 不正アクセス制御

公開日: 2026-05-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
UniFi Play PowerAmpUbiquiti1.0.35以前
UniFi Play Audio PortUbiquiti1.0.24以前

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1ファームウェアバージョンを確認する
  2. 2PowerAmp 1.0.38 / Audio Port 1.1.9以降へアップデートする
  3. 3SSHアクセスの状態を確認する

影響対象

UniFi Play利用者

補足

  • -認証不要でネットワーク経由からSSHを有効化できるためアップデートを最優先とする
CVEUniFiUbiquitiアクセス制御

概要

Ubiquiti製UniFi Play製品に、アクセス制御の不備(CWE-284)に起因する脆弱性が存在します。UniFi Playネットワークへのアクセス権を持つ悪意ある攻撃者が、この脆弱性を悪用してSSHを有効化し、システムに対して不正な変更を加えることができます。

本脆弱性はUniFi Play PowerAmp(バージョン1.0.35以前)およびUniFi Play Audio Port(バージョン1.0.24以前)に影響します。SSHが有効化されると、攻撃者はデバイスへの永続的なアクセスを確立し、設定変更や情報窃取などの攻撃を展開できる可能性があります。

同一のUbiquiti Security Advisory(Bulletin-063)には、コマンドインジェクション(CVE-2026-22563)およびパストラバーサル(CVE-2026-22562)も含まれており、いずれもCVSS 9.8です。最新ファームウェアへの速やかなアップデートを強く推奨します。

CVSSベクトル

指標
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベル不要
ユーザー操作不要
CWECWE-284(アクセス制御の不備)

影響を受けるソフトウェア

製品ベンダー影響バージョン
UniFi Play PowerAmpUbiquiti1.0.35以前
UniFi Play Audio PortUbiquiti1.0.24以前

修正バージョンと回避策

  • 修正: UniFi Play PowerAmp 1.0.38 以降、UniFi Play Audio Port 1.1.9 以降へアップデート
  • 回避策: UniFi PlayデバイスへのネットワークアクセスをファイアウォールやVLANで制限する。SSHアクセスの状態を定期的に確認する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-22562UniFi Play パストラバーサルCVSS 9.8CVE-2026-22563UniFi Play コマンドインジェクションCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-22564
Ubiquiti Advisory:https://community.ui.com/releases/Security-Advisory-Bulletin-063/e468dd4b-5090-4ef8-89d8-939903c08e83
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。