UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局

米当局は、Ubiquiti製ネットワーク機器やLantronix製サーバの脆弱性が悪用されているとして注意喚起を行った。早急な対策を求めている。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は現地時間2026年6月23日、「悪用が確認された脆弱性カタログ（KEV）」へ4件の脆弱性を追加。米行政機関などに対して3日後の6月26日までに対策を講じるよう求めている。

Ubiquitiのネットワーク機器に搭載されている「UniFi OS」に関しては、3件の脆弱性を登録した。「CVE-2026-34908」はアクセス制御の不備に関する脆弱性。ネットワークへアクセスできる攻撃者によってシステムの変更が可能となり、悪用が確認されている。

あわせてアカウントの侵害につながる可能性があるパストラバーサルの脆弱性「CVE-2026-34909」や、入力検証の不備によるコマンドインジェクションの脆弱性「CVE-2026-34910」を追加した。

またLantronixに関してはシリアルベースの機器に対するリモートアクセスの管理を行えるシリアルデバイスサーバ「EDS5000」に判明したコードインジェクションの脆弱性「CVE-2025-67038」が悪用されている。

ユーザー名パラメータを通じて任意のOSコマンドが挿入され、root権限で実行されるおそれがあり、CISAでは共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル（Critical）」と評価している。

（Security NEXT - 2026/06/24 ）ツイート