discussion ⚠️ Security Advisory Bulletin 021

[m4v3r1ck]

Overview​

First Published: November 24, 2021
Version: 1.0
Revision: 1.0

Summary
A Cross-Origin Resource Sharing (CORS) vulnerability found in UniFi Protect application Version 1.19.2 and earlier allows a malicious actor who has convinced a privileged user to access a URL with malicious code to take over said user’s account.

This vulnerability is fixed in UniFi Protect application Version 1.20.0 and later.

Affected Products:
All UniFi OS Consoles hosting the UniFi Protect application

Mitigation:
Update the UniFi Protect application to Version 1.20.0 or later.

Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 7.5 High
Vector:
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Reference Links:
https://community.ui.com/releases/U...n-1-20-0/d43c0905-3fb4-456b-a7ca-73aa830cb011

 

[PcRene]

Done, geen problemen

 

[gewoon in de kroeg]

Update gedaan.
En zeker bedankt voor de post
Maar waarom staat dit topic niet onder Ubiquiti Aankondigingen?

EDIT:
Temeer omdat de update daar wel staat.(en dit toch duidelijk een aankondiging is)

 

[m4v3r1ck]

Voor wat ik heb gezien is deze aankondiging 2 uur later gepost dan de update zelf. Omdat het alleen Protect betreft heb ik het hierin gezet. Strikt genomen heb je een punt.

LTAX04 is deze post te verhuizen naar het juiste subforum, of kan deze hier blijven staan?

 

[LTAX04]

Ik heb hem verplaatst naar In Het Nieuws, want volgens mij hoort het daar meer thuis.

 

[m4v3r1ck]

Ik heb hem verplaatst naar In Het Nieuws, want volgens mij hoort het daar meer thuis.

Dankjewel!