CVE-2014-2225

Versões do UniFi Controller anteriores à 3.2.1

A vulnerabilidade permite que invasores remotos se apropriem da autenticação de administradores para diversas solicitações, incluindo a criação de um novo usuário administrador, a alteração de configurações de convidados, o bloqueio ou desbloqueio de usuários e a modificação de configurações do syslog. Especificamente, os pontos de extremidade da API afetados incluem “api/add/admin” para a criação de um novo usuário administrador, “api/add/wlanconf” para impacto não especificado, “api/set/setting/guest access” para alteração da senha de convidado, método de autenticação ou sub-redes restritas, “api/cmd/stamgr” para bloquear, desbloquear ou reconectar usuários por endereço MAC, “api/set/setting/rsyslogd” para alterar o servidor ou a porta do syslog, “api/set/setting/smtp” com impacto não especificado, “api/cmd/cfgmgr” para alterar as configurações do servidor, porta ou autenticação do syslog e “api/set/setting/identity” para alterar o nome do Unifi Controller.

Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API afetados até que um patch esteja disponível. Evite usar os pontos de extremidade da API vulneráveis para operações confidenciais até que o problema seja resolvido.