A Ubiquiti Networks está relatando uma falha crítica de segurança em seu aplicativo UniFi Access, sua solução de controle de acesso a portas e gerenciamento de segurança física da empresa. A falha no registro CVE-2025-52665 (CVSS 10.0) e expõe uma API de gerenciamento sem autenticação adequada, permitindo que agentes mal-intencionados obtenham controle total sobre sistemas de acesso físico.
Leia também
API se torna alvo favorito de IA
Ameaças internacionais são subestimadas na proteção de APIs
O aviso de segurança da Ubiquiti tem uma descrição um tanto vaga das implicações da vulnerabilidade. Especialistas em segurança sugerem que invasores que exploram essa vulnerabilidade podem obter acesso físico não autorizado a instalações protegidas por sistemas UniFi Access, modificar permissões de acesso, criar credenciais fraudulentas, desabilitar controles de segurança ou exfiltrar informações fornecidas sobre layouts de instalações, padrões de acesso e configurações de segurança.
A vulnerabilidade foi introduzida no UniFi Access versão 3.3.22 e afeta todas as versões até 3.4.31. A Ubiquiti recomenda fortemente que todos os clientes que executam versões afetadas se atualizem imediatamente para a versão 4.0.21 ou mais recente para eliminar o risco de segurança.
As organizações que não podem atualizar imediatamente devem isolar a rede de gerenciamento do UniFi Access de redes não confiáveis. Todas as organizações que utilizam o UniFi Access devem verificar seus registros de controle de acesso físico para identificar qualquer atividade suspeita, criação não autorizada de credenciais ou padrões de acesso anômalos que possam indicar exploração.
