Ubiquiti a annoncé une faille de sécurité majeure dans UniFi Network, l’app centrale de son écosystème de produits réseau. Nommée CVE-2026-22557, cette brèche est jugée critique par le score CVSS, le niveau le plus élevé. Autant dire qu’il vaut mieux mettre à jour son système le plus rapidement possible. Si vous utilisez l’écosystème UniFi et que vous n’avez pas activé les mises à jour automatiques, précipitez-vous sur l’interface de contrôle pour vérifier dans la section « Control Plane » de votre routeur que vous avez bien la dernière version.
Dans le détail, l’app UniFi Network est touchée pour les versions 9.0.114 et antérieures, 10.1.85 et précédentes ou 10.2.93 ou moins. Vérifiez surtout le dernier nombre dans ce numéro de version, il vous faut une version plus élevée. Dans mon cas, j’utilise UniFi Network 10.2.97 et je suis ainsi correctement couvert contre la faille de sécurité. Notez que si vous utilisez une version plus vieille encore que la branche 9.0, il n’y a pas de correctif proposé et on ne sait pas si la faille y est aussi exploitable. Dans le doute, mieux vaut basculer sur les versions plus récentes.
Voici la description de la vulnérabilité fournie par Ubiquiti :
Un acteur malveillant disposant d’un accès au réseau pouvait exploiter une vulnérabilité de type Path Traversal présente dans l’app UniFi Network afin d’accéder à des fichiers du système hôte, lesquels pouvaient être manipulés pour permettre l’accès à un compte associé.
Ce type d’attaque permet de manipuler des chemins de fichiers dans une requête pour sortir des répertoires autorisés et accéder à des emplacements sensibles du système, en théorie protégés. Si Ubiquiti ne donne pas tous les détails, les conséquences pouvaient manifestement être désastreuses : la manipulation du système peut servir à mettre en place un malware au niveau du routeur ou alors à accéder au compte de l’utilisateur. Pour un malware, c’est la porte ouverte à toutes les fonctionnalités d’UniFi Network, le logiciel qui gère le routeur au cœur d’un réseau.
On peut imaginer la portée d’un tel accès pour un équipement utilisé en entreprise, à la fois en termes d’accès aux données qui circulent sur le réseau et en laissant la possibilité de manipuler les requêtes à la volée. Le fabricant note qu’il fallait disposer d’un accès au réseau, ce qui limite malgré tout les possibilités. Ce qui n’est pas un bon argument pour repousser la mise à jour sans raison pour autant.
Pour en savoir plus sur l’écosystème UniFi, je vous renvoie à cette introduction qui présente les différentes briques, tant logicielles que matérielles, qui le composent.
À la découverte de l’écosystème UniFi, l’équipement réseau des pros accessible au grand public
