Nové zranitelnosti v katalogu CISA KEV – vydání 26

CISA přidala do katalogu aktivně zneužívaných zranitelností čtyři nové záznamy týkající se zařízení Ubiquiti UniFi OS a průmyslového serveru Lantronix EDS5000. Termín záplat je 26. června.

Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) přidala 23. června 2026 do svého katalogu Known Exploited Vulnerabilities (KEV) čtyři nové záznamy. Tři z nich se týkají operačního systému Ubiquiti UniFi OS, který pohání směrovače, přepínače a přístupové body z populární rodiny produktů UniFi nasazované v podnikových i průmyslových sítích. Čtvrtý záznam se týká průmyslového síťového serveru Lantronix EDS5000.

Nejzávažnější ze čtveřice je CVE-2026-34910 – zranitelnost nesprávné validace vstupu v Ubiquiti UniFi OS. Hodnocení CVSS 10.0 (CRITICAL) signalizuje maximální závažnost: útočník s přístupem do sítě může odesláním speciálně sestavených požadavků provést injekci příkazů a získat plnou kontrolu nad zařízením. Navazující CVE-2026-34909 je zranitelnost path traversal (procházení adresářové struktury), která útočníkovi umožňuje číst soubory na úrovni operačního systému a manipulovat s nimi za účelem kompromitace přístupového účtu. CVE-2026-34908 pak představuje chybu v řízení přístupu dovolující neautorizované změny konfigurace systému. CVSS skóre pro CVE-2026-34909 a CVE-2026-34908 nebyla v době zpracování v databázi NVD ještě zveřejněna; vzhledem k zařazení do KEV jde o aktivně zneužívané zranitelnosti bez ohledu na dosud přiřazenou hodnotu. Záplatu přináší aktualizace firmware UniFi OS – správci by měli aktualizovat přes UniFi Network Controller nebo konzoli UniFi OS Console.

CVE-2025-67038 se týká průmyslového ethernetového serveru Lantronix EDS5000, který slouží k připojení sériových zařízení do sítě Ethernet – typicky v průmyslovém a infrastrukturním prostředí. Zranitelnost injekce kódu v parametru uživatelského jména umožňuje útočníkovi spustit libovolné příkazy operačního systému s právy root. CVSS skóre pro tuto CVE nebylo v době zpracování v databázi NVD dostupné. Lantronix vydal záplatu; správci by měli nainstalovat aktualizovaný firmware v souladu s pokyny výrobce.

CISA stanovila jako termín záplaty pro všechny čtyři záznamy datum 26. června 2026 – tedy tři dny od zveřejnění. Takto krátký termín odpovídá směrnici BOD 26-04, která platí pro federální civilní agentury USA. Pro organizace mimo americkou federální správu slouží KEV katalog jako doporučující zdroj priority záplatování; samotný třídenní termín je v komerčním prostředí zpravidla nevyhovující, ale signalizuje, že u těchto zranitelností existuje potvrzené aktivní zneužívání, které vyžaduje urychlené řešení. Organizace s nasazenými zařízeními Ubiquiti UniFi by měly okamžitě ověřit verze firmware a přistoupit k aktualizaci. Provozovatelé průmyslových sítí s Lantronix EDS5000 by měli prověřit, zda je zařízení přístupné z méně důvěryhodných segmentů sítě, a v rámci záplatování zvážit i segmentaci.