Security Advisory Bulletin 019

Status
Niet open voor verdere reacties.

Hofstede

Administrator
UniFier
12 feb 2018
3.766
11
2.943
213

Security Advisory Bulletin 019​


Overview​

First Published: Aug 23, 2021
Version: 1.1
Revision: 1.1

Summary 1 of 2
A vulnerability found in UniFi Protect application V1.18.1 and earlier permits a malicious actor who has already gained access to a network to subsequently control the Protect camera(s) assigned to said network. This vulnerability is fixed in UniFi Protect application V1.19.0 and later.

Affected Products:
All UniFi OS Consoles hosting the UniFi Protect application

Mitigation:
Update the UniFi Protect application to V1.19.0 or later.

Impact:
CVSS v3.0 Severity and Metrics:
Base Score:
10 Critical
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2021-22943

Summary 2 of 2
A vulnerability found in UniFi Protect application V1.18.1 and earlier allows a malicious actor with a view-only role and network access to gain the same privileges as the owner of the UniFi Protect application. This vulnerability is fixed in UniFi Protect application V1.19.0 and later.

Affected Products:
All UniFi OS Consoles hosting the UniFi Protect application

Mitigation:
Update the UniFi Protect application to V1.19.0 or later.

Impact:
CVSS v3.0 Severity and Metrics:
Base Score:
7.5 High
Vector: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE: CVE-2021-22944

Reference Links:
https://community.ui.com/releases/U...n-1-19-0/f522353f-80c1-4700-ab3e-dd45603930e3

Comments (7)​

 
  • Leuk
Waarderingen: Hempie en m4v3r1ck
Begrijp ik het goed dat bovenstaande Security Advisory Bulletin 019 er later is bij 'gefrommeld' in de release-notes van deze versie V1.19.0?

ScreenCap 2021-08-24 at 15.49.31.png

In mijn copy-past voor ons Forum is de laatste zin met verwijzing (een dag geleden) nog niet geschreven. Niet echt transparant en onduidelijk als je de release-notes al hebt gelezen.

ScreenCap 2021-08-24 at 15.55.02.png

Apart!
 
Laatst bewerkt:
  • Leuk
Waarderingen: PcRene
Ze hebben de info later toegevoegd aan de release notes om deze compleet te maken. Eerder konden ze deze blijkbaar nog niet openbaar maken.

Ik zelf kreeg gisteren een aparte melding van dit security bulletin.
 
  • Leuk
Waarderingen: m4v3r1ck
Dat is mooi dat je een melding krijgt, speciale aanmelding gedaan oid? Ik zou ook graag dit soort meldingen willen ontvangen/ergens kunnen inzien en kunnen plaatsen op het Forum hier, of valt dit ook onder een NDA van Ubiquiti? Ik kreeg van HP ook altijd een mailtje als er een CVE was voor een switch.
 
Status
Niet open voor verdere reacties.
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.