脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
Critical CVSS 10.0 KEV 悪用確認
CVE-2026-34910

Ubiquiti UniFi OS コマンドインジェクション

CVE IDCVE-2026-34910
製品Ubiquiti / UniFi OS
CVSS10.0(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
種別 (CWE)CWE-20 不適切な入力検証 / コマンドインジェクション
登録/公開日2026/06/23
KEV 期限2026/06/26 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-34910

概要

Ubiquiti UniFi OS の不適切な入力検証によるコマンドインジェクションの脆弱性。ネットワークアクセスを持つ攻撃者がコマンド実行に至る恐れ。修正版は UniFi OS Server 5.0.8、多くの機器で 5.1.12(機器により 5.1.10/5.1.11)以降。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) 対象外
該当なし(オンプレ/エッジのネットワーク機器)
UniFi OS はクラウド上で動作するアプリではなく物理/仮想アプライアンスのため、AWS の対象外。機器ファームウェアを更新。
参照リンク
GCP 対象外
該当なし(オンプレ/エッジのネットワーク機器)
GCP の対象外。機器ファームウェアを更新。
参照リンク
Azure 対象外
該当なし(オンプレ/エッジのネットワーク機器)
Azure の対象外。機器ファームウェアを更新。
参照リンク
Linux ベンダーFW更新
UniFi OS を修正版ファームウェアへ更新
UniFi OS は Linux ベースだが Ubiquiti 独自ファームウェア。汎用 Linux ディストリのパッケージ更新ではなく機器ファームウェアの更新で対応。
参照リンク

解決の方向性(パッチ/回避策/代替)

各 UniFi 機器を修正済みファームウェアへ更新するのが確実。管理画面をインターネットに直接公開せず、リモート管理は VPN 経由に限定する回避策も推奨。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る