CVE-2026-22564 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:访问控制失效。 📉 **后果**:攻击者可完全接管设备,导致**机密性、完整性、可用性**全部丧失(CVSS评分极高)。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-284**:访问控制错误。 🛠️ **缺陷点**:未正确限制对 UniFi Play PowerAmp 和 Audio Port 端口/功能的访问权限。
Q3影响谁?(版本/组件)
🏢 **厂商**:Ubiquiti Inc (优比快)。 📦 **产品**:UniFi Play PowerAmp、UniFi Play Audio Port。 📅 **版本**:PowerAmp **1.0.35 及之前版本**(描述截断,需警惕所有旧版)。
Q4黑客能干啥?(权限/数据)
👑 **权限**:无需认证(PR:N)。 💾 **数据**:可读取敏感数据(C:H),可篡改配置(I:H),可阻断服务(A:H)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 🌐 **网络**:网络可达即可(AV:N)。 🔑 **认证**:**无需认证**(PR:N)。 👀 **交互**:无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 **无** 现成 PoC 列表。 🌍 **在野**:未提及在野利用,但鉴于 CVSS 满分潜力,风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 UniFi 控制器中设备固件版本。 📊 **扫描**:使用支持 CVE-2026-22564 的漏洞扫描器检测未打补丁设备。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方**:已发布安全公告(Security Advisory Bulletin 063)。 💊 **补丁**:需前往 Ubiquiti 社区页面下载最新固件修复。
Q9没补丁咋办?(临时规避)
⚠️ **临时**:若无法立即升级,建议**隔离**设备网络。 🚫 **限制**:严格限制对设备管理端口的网络访问,仅允许信任 IP。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📢 **建议**:CVSS 3.1 全高项,且无需认证。建议**立即**升级固件至最新版本。