https://cyberveille.ch/tags/cve-2026-34909/ Recent content in CVE-2026-34909 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 08 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-08-rce-non-authentifiee-sur-unifi-os-server-chaine-de-vulnerabilites-cvss-10-0-cve-2026-34908-09-10/ Mon, 08 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-08-rce-non-authentifiee-sur-unifi-os-server-chaine-de-vulnerabilites-cvss-10-0-cve-2026-34908-09-10/ <h2 id="-contexte">🔍 Contexte</h2> <p>Le 5 juin 2026, Bishop Fox (chercheur Jon Williams) publie une analyse technique approfondie d&rsquo;une chaîne d&rsquo;exploitation affectant <strong>UniFi OS Server</strong> d&rsquo;Ubiquiti, couverte par le <strong>Security Advisory Bulletin 064 (SAB-064)</strong> publié le 21 mai 2026. L&rsquo;analyse porte sur les versions <strong>5.0.6 et inférieures</strong> (unifi-core ≤ 5.0.126), validée sur une cible live.</p> <h2 id="-chaîne-dexploitation-3-parties">🧩 Chaîne d&rsquo;exploitation (3 parties)</h2> <p><strong>Partie 1 — Contournement de l&rsquo;authentification (CVE-2026-34908 / CVE-2026-34909, CVSS 10.0)</strong></p> <ul> <li>Le proxy <strong>Nginx</strong> utilise <code>$request_uri</code> (brut, encodé) pour la vérification d&rsquo;authentification via <code>auth_request</code>, mais <code>$uri</code> (normalisé, décodé) pour le routage vers les backends.</li> <li>Une requête dont l&rsquo;URI brut commence par <code>/api/auth/validate-sso/</code> (route publique exemptée) mais dont la forme normalisée résout vers <code>/proxy/&lt;service&gt;/</code> (route authentifiée) contourne le contrôle d&rsquo;accès.</li> <li>Des séquences de path traversal encodées (<code>..%2f</code>, <code>..%2e</code>, <code>%2e%2e</code>) permettent cette divergence.</li> </ul> <p><strong>Partie 2 — Injection de commande (CVE-2026-34910, CVSS 10.0 / CVE-2026-33000, CVSS 9.1)</strong></p>