Ubiquiti’nin UniFi Access uygulamasının, yönetim API’sini kimlik doğrulama olmadan açıkta bırakan kritik bir kusura karşı savunmasız olduğu tespit edildi.
Catchify Security tarafından keşfedilen bu sorun, yönetim ağındaki kötü niyetli aktörlerin potansiyel olarak kapı erişim sistemlerinin tam kontrolünü ele geçirmesine olanak tanıyor ve fiziksel güvenlik için platforma güvenen kuruluşlar için alarmları tetikliyor.
Güvenlik açığı, UniFi Access uygulamasının 3.3.22 sürümünde tanıtılan yanlış yapılandırmadan kaynaklanıyor. Saldırganlar, uygun güvenlik önlemleri olmadan erişim kontrollerini değiştirmek, kapıların kilidini açmak veya operasyonları kesintiye uğratmak için API uç noktalarını manipüle edebilir.
Bu açığa çıkma, özellikle fiziksel ve dijital güvenliğin kesiştiği ortamlarda, rutin bir ağ erişimini yetkisiz değişiklikler için bir ağ geçidine dönüştürür.
UniFi Kapı Erişimi Uygulamasındaki Güvenlik Açığı
CVE-2025-52665, özellikle UniFi Erişim Uygulamasını etkiliyor ve 3.3.22’den 3.4.31’e kadar olan sürümleri hedefliyor.
Bu kusur, hiçbir ayrıcalığa ihtiyaç duymadan ağ tabanlı kullanıma olanak tanıyor ve kurumsal ofisler veya akıllı binalar gibi bağlantılı kurulumlarda tehlikesini artırıyor.
Ubiquiti, sorunun 4.0.21 sürümünde yamalandığını belirterek sorunu kabul etti ve kötüye kullanımı önlemek için acil güncelleme çağrısında bulundu.
Catchify Security’deki (@catchifySA) güvenlik araştırmacıları, kimliği doğrulanmamış API’nin, yetkisiz giriş veya entegre sistemlerden veri sızıntısı gibi ardışık arızalara nasıl yol açabileceğini vurguladı.
Mükemmel bir CVSS v3.1 puanı olan 10,0 ile derecelendirilen bu kritik güvenlik açığı, gizlilik, bütünlük ve kullanılabilirlik açısından yüksek riskler oluşturur.
Saldırganların yalnızca ağ erişimine ihtiyacı vardır, bu da içeridekilerin veya çevre savunmasını ihlal edenlerin işini kolaylaştırır.
| CVE Kimliği | Etkilenen Ürünler | CVSS v3.1 Temel Puan | Vektör Dizisi | Tanım |
|---|---|---|---|---|
| CVE-2025-52665 | UniFi Erişim Uygulaması (v3.3.22 – 3.4.31) | 10,0 (Kritik) | CVSS:3.1/AV:N/AC:N/UI:N/IU:C:H/I:H/A:H/A:H | Tam yönetim kontrolüne izin veren, kimliği doğrulanmamış API’ye maruz kalma. |
Ubiquiti, birincil önlem olarak 4.0.21 veya sonraki bir sürüme güncelleme yapmanızı önerir. Kuruluşlar ağ yapılandırmalarını denetlemeli ve bu arada olağandışı API etkinliğini izlemelidir.
Bu olay, Nesnelerin İnterneti ve erişim kontrol yazılımında sağlam kimlik doğrulama ihtiyacının altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
