GarethMSheldon/cve-2026-22557-unifi-detection
GitHub: GarethMSheldon/cve-2026-22557-unifi-detection
针对 UniFi Network Application CVE-2026-22557 路径遍历漏洞的多格式检测规则集,支持多种 SIEM 平台和独立脚本检测。
Stars: 0 | Forks: 0
# CVE-2026-22557 — UniFi Network Application 检测
| 字段 | 详情 |
|-------------|--------|
| CVE | CVE-2026-22557 |
| 发布日期 | 2026-03-19 |
| CNA | HackerOne |
| CVSS 评分 | 10.0 CRITICAL |
| 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 供应商 | Ubiquiti Inc |
| 产品 | UniFi Network Application |
## 描述
UniFi Network Application 中的路径遍历漏洞允许远程未经身份验证的攻击者从底层系统读取任意文件。这些文件可被篡改以获取底层账户的访问权限。
## 受影响版本
| 分支 | 受影响 | 已修补 |
|--------------|------------------|----------|
| Stable | < 10.1.89 | 10.1.89 |
| Release Candidate | < 10.2.97 | 10.2.97 |
| UniFi Express (UX) | < 9.0.118 | 9.0.118 |
## 仓库结构
```
.
├── docs/
│ └── mitre_attack.md # MITRE ATT&CK mapping
├── kql/
│ └── cve_2026_22557.kql # Microsoft Sentinel / Defender KQL queries
├── sigma/
│ └── cve_2026_22557.yml # Sigma rule for path traversal detection
├── splunk/
│ └── cve_2026_22557.spl # Splunk SPL searches
├── src/
│ └── lab/
│ └── nginx.conf # Lab reverse proxy config for testing
├── sysmon/
│ └── sysmon_config_snippet.xml # Sysmon config additions
├── yara/
│ └── cve_2026_22557.yar # YARA rule for HTTP log scanning
└── detect.sh # Standalone bash detection script
```
## 检测覆盖范围
| 工件 | 检测内容 |
|------------------------|-----------------|
| `detect.sh` | 版本检查、日志扫描、网络暴露、文件完整性 |
| `yara/` | HTTP 访问日志中的路径遍历模式 |
| `sigma/` | 针对 Web 服务器和 UniFi 日志的通用 SIEM 规则 |
| `kql/` | Microsoft Sentinel 和 Defender for Endpoint 查询 |
| `splunk/` | 针对 Web 和 UniFi 日志源的 Splunk SPL |
| `sysmon/` | java.exe / mongod 对敏感路径的文件读取事件 |
## 修复建议
1. 针对您使用的分支修补至已修复版本(见上表)。
2. 将端口 8443 限制为仅限管理网络访问。切勿将其暴露在互联网上。
3. 在修补之前检查 UniFi 日志中是否存在遍历模式。
4. 如果怀疑遭到入侵,请轮换凭据。
## 参考资料
- [Ubiquiti 安全公告 Bulletin 062](https://community.ui.com/releases/Security-Advisory-Bulletin-062-062/c29719c0-405e-4d4a-8f26-e343e99f931b)
- [NVD 条目](https://nvd.nist.gov/vuln/detail/CVE-2026-22557)
标签:AMSI绕过, BurpSuite集成, CISA项目, CVE-2026-22557, CVSS 10.0, KQL, Nginx配置, PE 加载器, SIEM规则, Splunk SPL, Sysmon, Ubiquiti, UniFi Network Application, x64dbg, YARA, 云资产可视化, 威胁检测, 应用安全, 文件读取, 未授权访问, 极危漏洞, 私有化部署, 编程工具, 网络安全, 网络安全审计, 路径遍历, 远程代码执行, 防御规避, 隐私保护