¿Qué son las vulnerabilidades CVE-2026-34908, 34909 y 34910?

Son tres fallos de Ubiquiti UniFi OS con CVSS 10.0. CVE-2026-34908 es un bypass de control de acceso que permite cambios sin autenticación; CVE-2026-34909 es un salto de directorio que da acceso a ficheros del sistema, incluidos configuración y credenciales; CVE-2026-34910 es una inyección de comandos. Ubiquiti los parcheó el 21 de mayo de 2026 en UniFi OS Server 5.0.8.

¿Cómo se encadenan los tres fallos de UniFi OS?

Según el análisis de Bishop Fox, CVE-2026-34908 y CVE-2026-34909 forman un bypass de la pasarela de autenticación basado en cómo NGINX normaliza peticiones manipuladas. Ese acceso no autenticado habilita CVE-2026-34910, que inyecta comandos a través del nombre de paquete en la función de actualización. El encadenamiento da ejecución remota de código con privilegios elevados, sin credenciales.

¿Qué versión corrige los fallos de UniFi OS?

Ubiquiti recomienda actualizar a UniFi OS Server 5.0.8 o posterior, publicada el 21 de mayo de 2026. Esa versión corrige los tres fallos máximos (CVE-2026-34908/909/910) y también la variante autenticada CVE-2026-33000 (CVSS 9.1).

¿Qué es CVE-2025-67038 en el Lantronix EDS5000?

Es una inyección de comandos del sistema operativo, sin autenticación y con privilegios de root, con CVSS 9.8. Reside en el módulo HTTP RPC del conversor serie-a-IP EDS5000, que concatena el nombre de usuario en un comando de shell al registrar intentos de autenticación fallidos. Se corrige con el firmware 2.2.0.0R1 y forma parte del conjunto BRIDGE:BREAK.

¿Por qué el EDR no protege estos equipos?

Porque un agente de detección de endpoints se instala en servidores y puestos de trabajo, no en pasarelas de red ni en conversores serie. Estos dispositivos quedan fuera del alcance del EDR, no suelen estar en el inventario de activos y, al tratarse de un bypass de autenticación, las credenciales y el doble factor no aportan protección frente a este ataque.

¿Qué significa que CISA los añada al catálogo KEV?

El catálogo Known Exploited Vulnerabilities recoge fallos con explotación observada en el mundo real. Su inclusión obliga a las agencias federales de EE. UU. a parchear en un plazo corto (tres días, según la directiva BOD 26-04) y sirve al resto de organizaciones como criterio de priorización: un CVE del KEV debe tratarse como una emergencia, no como un punto más de la cola.

¿Cómo afecta esto a una organización sujeta a NIS2?

NIS2 exige gestionar el riesgo de toda la infraestructura de red y de la cadena de suministro TIC, lo que incluye pasarelas, controladores y conversores que conectan tecnología industrial. La explotación de estos equipos puede activar la obligación de notificación de incidentes, por lo que conviene tenerlos inventariados, monitorizados y dentro del proceso de gestión de vulnerabilidades.

¿Cómo puedo saber si un equipo UniFi ha sido comprometido?

Revisa las cuentas de administrador en busca de superadministradores que no hayas creado (en esta campaña aparecía el nombre «John Sim»), comprueba cambios de configuración no atribuibles y analiza el tráfico hacia las interfaces de gestión. Bishop Fox publicó además un script de detección gratuito para localizar instancias vulnerables al encadenamiento.

UniFi OS y Lantronix EDS5000 en el KEV de CISA

El 23 de junio de 2026, CISA incorporó cuatro vulnerabilidades a su catálogo de Known Exploited Vulnerabilities (KEV) y fijó como fecha de remediación el 26 de junio para las agencias federales estadounidenses.

Lo llamativo no es solo el plazo. Es dónde estaban los fallos: no en un portátil ni en un servidor de aplicaciones, sino en equipos que administran la red y en un conversor serie-a-IP que conecta dispositivos industriales a redes IP.

Tres de las vulnerabilidades afectan a UniFi OS, la plataforma de Ubiquiti que gobierna controladores, gateways y dispositivos de red en muchas oficinas, sedes distribuidas, pymes, entornos educativos y pequeños centros de datos. La cuarta afecta al Lantronix EDS5000, un conversor serie-a-IP utilizado para exponer a red equipos que originalmente se comunican por puertos serie.

En ambos casos, el riesgo es especialmente incómodo: hablamos de dispositivos que muchas organizaciones no tratan como servidores críticos, pero que pueden tener una posición privilegiada dentro de la red.

Antes incluso de que CISA incorporara estos fallos al KEV, varios administradores describieron en foros públicos la aparición de cuentas de superadministrador no reconocidas bajo el nombre “John Sim” en consolas UniFi expuestas. Esos reportes deben interpretarse con prudencia: no son una atribución oficial ni un informe forense completo. Pero sí encajan con un patrón de explotación automatizada contra consolas vulnerables y accesibles.

Cuando el equipo que administra la red empieza a crear administradores fantasma, el problema ha dejado de ser teórico.

Este artículo explica qué falló, cómo se encadenan las vulnerabilidades de UniFi OS, por qué el conversor Lantronix merece la misma atención, qué señales buscar y qué deberían hacer las organizaciones que gestionan este tipo de equipos.

Resumen ejecutivo: qué revisar hoy

Si administras UniFi OS, dispositivos Ubiquiti o conversores Lantronix EDS5000, las prioridades son claras:

Actualizar UniFi OS según el Security Advisory Bulletin 064 de Ubiquiti. Para UniFi OS Server, la versión corregida indicada es 5.0.8 o posterior.
Actualizar Lantronix EDS5000 a firmware 2.2.0.0R1 o posterior.
Revisar si las interfaces de administración están expuestas a Internet.
Buscar cuentas de administrador desconocidas, especialmente cualquier cuenta tipo “John Sim” u otros superadministradores no autorizados.
Revisar cambios de configuración, backups, logs y sesiones administrativas.
Segmentar el plano de gestión y aislar los dispositivos que conectan redes IT/OT.
Enviar logs al SIEM o SOC, no dejarlos solo en el propio dispositivo.
Tratar cualquier indicio de explotación como incidente, no como una simple tarea de parcheo.

Este caso encaja de lleno en lo que debe cubrir una buena gestión de superficie de ataque⁠: no solo servidores y endpoints, también routers, gateways, controladores, pasarelas, conversores industriales y equipos que sostienen la conectividad.

Qué vulnerabilidades añadió CISA al KEV

CISA añadió cuatro vulnerabilidades al catálogo KEV el 23 de junio de 2026:

La inclusión en KEV no significa simplemente que una vulnerabilidad sea grave. Significa que CISA dispone de evidencia de explotación observada. Por eso una vulnerabilidad KEV no debería tratarse como “un CVE más”, sino como una prioridad operativa.

Este enfoque es el mismo que explicamos en nuestro análisis sobre KEV, EPSS y SSVC para priorizar vulnerabilidades explotables⁠: la prioridad no debe depender solo del CVSS, sino de la explotabilidad real, la exposición y la criticidad del activo.

Anatomía: tres fallos de UniFi OS que, juntos, dan control total

Las tres vulnerabilidades de UniFi OS incluidas en el KEV tienen puntuación CVSS 10.0, el máximo posible. Por separado ya son graves, pero el mayor riesgo aparece cuando se encadenan.

CVE-2026-34908 es un fallo de control de acceso. Permite a un atacante con acceso de red realizar cambios no autorizados en un equipo UniFi OS.

CVE-2026-34909 es un path traversal. Permite acceder a ficheros del sistema subyacente, incluidos ficheros que pueden contener información sensible o facilitar compromiso posterior.

CVE-2026-34910 es una validación de entrada deficiente que permite inyección de comandos del sistema operativo.

El análisis técnico publicado por Bishop Fox muestra cómo estos fallos pueden conectarse en una cadena de explotación. A alto nivel, los dos primeros permiten esquivar la pasarela de autenticación aprovechando diferencias entre cómo se evalúa una ruta antes y después de su normalización. En la práctica, una petición puede empezar pareciendo dirigida a una ruta exenta de autenticación y, tras normalizarse, alcanzar una ruta interna que sí debería estar protegida.

A partir de ahí, la vulnerabilidad de validación de entrada permite inyectar comandos en una función relacionada con actualizaciones o paquetes. El resultado final es ejecución remota de comandos con privilegios elevados, sin necesidad de credenciales válidas, siempre que el servicio vulnerable sea alcanzable por red.

No hace falta convertir esto en una guía de explotación. La lección defensiva es suficiente: si una consola UniFi OS vulnerable está expuesta a redes no confiables, el atacante puede pasar de una petición no autenticada a control de la plataforma.

Y esa plataforma, en muchos entornos, administra la red.

La señal “John Sim”: útil, pero no absoluta

Uno de los indicadores más comentados en la comunidad fue la aparición de cuentas de superadministrador llamadas “John Sim” en consolas UniFi.

Es una señal práctica que merece buscarse, pero conviene no exagerarla.

Lo que sabemos:

Varios administradores reportaron públicamente la aparición de esa cuenta.
Los reportes aparecieron tras la publicación del boletín de Ubiquiti.
El patrón encaja con automatización contra consolas vulnerables y expuestas.
La creación de una cuenta privilegiada no reconocida debe tratarse como un posible compromiso.

Lo que no debemos afirmar sin evidencia:

Que todos los casos pertenezcan al mismo actor.
Que “John Sim” sea un indicador universal.
Que no existan otros nombres de cuenta utilizados.
Que la presencia o ausencia de ese nombre baste para confirmar o descartar explotación.

La recomendación operativa es clara: revisa todas las cuentas administrativas, no solo “John Sim”. Cualquier superadministrador no autorizado es una señal crítica.

El eslabón olvidado: el conversor serie-a-IP de Lantronix

La cuarta vulnerabilidad, CVE-2025-67038, afecta al Lantronix EDS5000 con firmware vulnerable. Se trata de una inyección de comandos del sistema operativo en el módulo HTTP RPC.

El fallo se produce porque el dispositivo ejecuta un comando de shell para registrar intentos de autenticación fallidos y concatena el nombre de usuario recibido sin sanearlo correctamente. Eso permite que un atacante inyecte comandos arbitrarios, que se ejecutan con privilegios root.

Desde fuera puede parecer menos atractivo que un firewall o un controlador de red. Pero en entornos industriales y operativos, los conversores serie-a-IP son piezas muy sensibles. Conectan maquinaria, sensores, equipamiento médico, sistemas legacy o dispositivos industriales a redes IP modernas.

Y muchas veces pasan inadvertidos.

No aparecen en los inventarios principales. No tienen EDR. No están integrados en el SIEM. No siguen el mismo ciclo de gestión de vulnerabilidades que servidores y portátiles. Pero pueden estar conectando equipos críticos al resto de la red.

Por eso este caso debe leerse también desde una perspectiva de ciberseguridad industrial OT⁠, no solo como una noticia de vulnerabilidades.

Qué sabemos y qué no

Conviene ser claros con la evidencia.

Lo que sí sabemos:

CISA incorporó las cuatro vulnerabilidades al catálogo KEV por evidencia de explotación.
Las tres vulnerabilidades de UniFi OS pueden encadenarse para conseguir compromiso no autenticado en escenarios concretos.
Ubiquiti publicó el Security Advisory Bulletin 064 y versiones corregidas.
Lantronix publicó actualización para EDS5000.
El fallo de Lantronix permite inyección de comandos con privilegios root.
Existen reportes públicos de cuentas administrativas no reconocidas en consolas UniFi.

Lo que no sabemos con suficiente certeza pública:

Qué actores concretos están explotando cada vulnerabilidad.
Si todas las explotaciones responden a la misma campaña.
Si las cuentas “John Sim” corresponden a una única infraestructura atacante.
Si los cuatro fallos se están usando en campañas de ransomware concretas.
Cuántas organizaciones han sufrido compromiso efectivo frente a simple escaneo o reconocimiento.

Esta distinción es importante. Un buen análisis no necesita rellenar los huecos con especulación. Basta con lo confirmado: hay explotación observada, hay parches, hay dispositivos de borde afectados y hay riesgo real para entornos empresariales e industriales.

Por qué los controles habituales no lo ven

Estos equipos comparten un rasgo incómodo: no están “detrás” del perímetro. En muchos casos, son el perímetro.

Un controlador de red administra accesos, reglas, gateways y configuración. Un conversor serie-a-IP conecta sistemas físicos o industriales a una red digital. Si el atacante compromete uno de esos dispositivos, no necesita saltar un muro: ha tomado una de las piezas que define el muro.

Hay tres razones por las que la defensa tradicional suele quedarse corta.

1. El EDR no llega

Un agente EDR no se instala normalmente en una pasarela de red, un controlador UniFi o un conversor serie-a-IP. Estos equipos quedan fuera de la herramienta que muchas organizaciones consideran su primera línea de defensa.

Por eso la estrategia no puede depender solo de endpoint. Debe incluir inventario, exposición, segmentación, logs, threat hunting⁠ y correlación en un SOC gestionado⁠.

2. Las credenciales no siempre entran en juego

Si el fallo permite bypass de autenticación o ejecución sin credenciales, MFA y política de contraseñas ayudan menos de lo habitual.

Eso no significa que MFA no importe. Importa, y mucho, para accesos administrativos legítimos. Pero no compensa una interfaz de gestión vulnerable y expuesta.

La defensa de estos equipos empieza antes: no exponer administración a Internet, segmentar, actualizar, limitar acceso y monitorizar.

3. No se parchea lo que no se inventaría

El conversor que conecta una máquina en planta puede llevar años funcionando sin aparecer en el inventario de activos críticos.

Ese es el problema.

No se puede proteger lo que no se conoce. No se puede parchear lo que nadie tiene asignado. No se puede monitorizar lo que nunca envía logs. Y no se puede responder bien si el primer descubrimiento del activo ocurre durante el incidente.

Aquí una auditoría de infraestructura y red⁠ y un programa de gestión de vulnerabilidades⁠ deben incluir explícitamente equipos de red, gateways, controladores y dispositivos industriales de conectividad.

Detección: qué buscar en UniFi OS

Mientras se planifica el parcheo o se revisa exposición, hay señales concretas que pueden buscarse.

La recomendación es no quedarse en el dispositivo. Los logs de UniFi deben llegar a una plataforma centralizada y formar parte de la operación de seguridad. Si el registro queda solo dentro del equipo comprometido, el atacante puede alterar la visibilidad.

Detección: qué buscar en Lantronix EDS5000

En el caso de Lantronix EDS5000, la caza debe centrarse en el módulo HTTP RPC, intentos de autenticación y señales de ejecución anómala.

En OT, además, la detección debe ser cuidadosa. No todos los entornos industriales toleran escaneos agresivos. La estrategia debe combinar inventario pasivo, revisión de configuración, análisis de tráfico y ventanas de mantenimiento controladas.

Defensa: del parche urgente a la reducción de superficie

El primer paso es evidente: actualizar.

Pero parchear cierra estos fallos concretos. No resuelve el patrón de fondo: equipos críticos de red y OT fuera del inventario, fuera del SIEM y fuera del proceso de exposición.

1. Actualizar

Para UniFi OS, aplica las versiones corregidas indicadas por Ubiquiti en el Security Advisory Bulletin 064. En el caso de UniFi OS Server, actualiza a 5.0.8 o posterior.

Para Lantronix EDS5000, actualiza a firmware 2.2.0.0R1 o posterior.

Después de actualizar, verifica la versión realmente instalada. No basta con lanzar el proceso de actualización: hay que confirmar que el dispositivo quedó corregido.

2. Sacar la administración de Internet

Ni una consola UniFi ni un conversor serie-a-IP deberían tener su interfaz administrativa expuesta directamente a Internet.

Si se necesita acceso remoto, debe hacerse mediante:

VPN corporativa.
Bastión de administración.
Red de gestión.
MFA.
Registro de sesión.
Reglas estrictas por origen.
Revisión periódica de accesos.

Esta es una medida básica de hardening y bastionado de sistemas⁠.

3. Segmentar

Los controladores de red y dispositivos que conectan con OT deben vivir en segmentos propios.

La segmentación de red⁠ debe impedir que un compromiso de la interfaz de gestión se convierta automáticamente en movimiento lateral hacia usuarios, servidores, dominio, backup o sistemas industriales.

Como mínimo:

Red de gestión separada.
Acceso solo desde puestos o saltos autorizados.
Sin administración desde redes de usuario.
Reglas explícitas entre IT y OT.
Registro de tráfico norte-sur y este-oeste.
Revisión de excepciones.

4. Inventariar lo invisible

Los dispositivos de red y OT deben aparecer en el inventario con el mismo rigor que un servidor crítico.

El inventario debería incluir:

Fabricante.
Modelo.
Firmware.
Responsable.
Ubicación.
Segmento de red.
Exposición a Internet.
Interfaces activas.
Función de negocio.
Dependencias.
Criticidad.
Ventana de mantenimiento.
Procedimiento de actualización.

Un modelo de gestión continua de exposición o CTEM⁠ ayuda a pasar de “tenemos dispositivos” a “sabemos cuáles están expuestos, cuáles son explotables y cuáles pueden afectar a la continuidad”.

5. Integrar logs en el SOC

Estos equipos no pueden quedar fuera de la monitorización.

Como mínimo, conviene enviar al SOC:

Accesos administrativos.
Cambios de configuración.
Creación o modificación de usuarios.
Exportación o descarga de backups.
Reinicios.
Errores de autenticación.
Cambios de firmware.
Conexiones desde IPs externas.
Eventos de interfaz o servicio.

Un SOC gestionado⁠ aporta valor precisamente cuando puede correlacionar un evento de red, un cambio de configuración, una alerta de firewall y una vulnerabilidad KEV en el mismo contexto.

Respuesta si encuentras indicios de explotación

Si aparece una cuenta de administrador no reconocida, una configuración alterada o señales de explotación, no lo trates solo como “actualizar y cerrar”.

El procedimiento debería incluir:

Aislar o limitar la exposición del dispositivo afectado.
Preservar logs y configuración actual.
Eliminar cuentas no autorizadas.
Rotar credenciales administrativas.
Revocar sesiones activas.
Revisar backups y configuraciones exportadas.
Confirmar firmware corregido.
Buscar movimiento lateral desde el dispositivo.
Revisar reglas de firewall, NAT y VPN.
Documentar impacto y ventana temporal.
Evaluar necesidad de notificación interna, contractual o regulatoria.

Si hay evidencia de compromiso real, la respuesta entra en terreno de respuesta a incidentes⁠ y, en entornos industriales, puede requerir también análisis de forense digital⁠ con cuidado operativo para no afectar a producción.

Implicaciones de cumplimiento: NIS2 también mira a estos equipos

Para muchas organizaciones europeas, este tipo de vulnerabilidades no son solo un problema técnico.

NIS2⁠ exige gestionar riesgos sobre sistemas de red e información, aplicar medidas técnicas y organizativas adecuadas, gestionar vulnerabilidades, controlar accesos, monitorizar incidentes y proteger la continuidad.

Una pasarela de red, un controlador UniFi o un conversor que conecta una línea de producción no son “fontanería”. Son activos dentro del alcance de seguridad.

Si la organización opera tecnología industrial, el ángulo se refuerza. Los conversores serie-a-IP son activos fronterizos entre IT y OT, y deben entrar en la estrategia de ciberseguridad industrial OT⁠.

La inclusión en KEV de CISA es, además, una referencia útil para justificar prioridad ante dirección: no hablamos de vulnerabilidades teóricas, sino de fallos con explotación observada.

Y si llega a producirse un incidente relevante, la organización debe poder responder con datos: qué activos estaban afectados, qué versiones tenían, qué exposición existía, qué logs hay, qué cambios se observaron y qué medidas se aplicaron.

Sin inventario, logs y respuesta preparada, la notificación se hace a ciegas.

Para organizaciones que combinan marcos regulatorios, también conviene revisar la relación entre ENS, ISO 27001, NIS2 y DORA⁠, porque los mismos controles —inventario, exposición, hardening, monitorización, parcheo y respuesta— se repiten con distintos nombres.

La lección: el perímetro no ha desaparecido, se ha vuelto más difícil de ver

Durante años hemos repetido que el perímetro tradicional se ha diluido. Es cierto: cloud, SaaS, teletrabajo, identidades y proveedores han cambiado la forma de defender una organización.

Pero casos como UniFi OS y Lantronix recuerdan algo incómodo: el perímetro no ha desaparecido. Sigue existiendo en controladores, gateways, firewalls, VPN, conversores, routers, pasarelas, consolas cloud y herramientas de gestión.

La diferencia es que muchas veces ya no está en un único punto visible. Está repartido, expuesto y mal inventariado.

La conclusión incómoda no es que UniFi o Lantronix sean inseguros. Es que demasiadas organizaciones siguen tratando controladores de red, pasarelas y conversores industriales como infraestructura invisible, cuando en realidad son activos críticos expuestos.

El atacante lo sabe desde hace tiempo.

La pregunta es cuánto tardamos nosotros en mirar ahí.

¿Sabes qué dispositivos de red y OT tienes expuestos?

En Hard2bit ayudamos a empresas a identificar, priorizar y reducir riesgos reales en su infraestructura de red, dispositivos de borde, entornos OT y activos expuestos.

Podemos ayudarte con:

Si quieres revisar si tus controladores de red, pasarelas, VPN, conversores industriales o dispositivos expuestos están correctamente inventariados, parcheados y monitorizados, puedes contactar con nuestro equipo desde la página de contacto de Hard2bit⁠.

Fuentes recomendadas

CISA: Four Known Exploited Vulnerabilities added to KEV
https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalog
CISA KEV Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Ubiquiti: Security Advisory Bulletin 064
https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b
Bishop Fox: UniFi OS unauthenticated RCE chain and detection analysis
https://bishopfox.com/blog/popping-root-on-unifi-os-server-unauthenticated-rce-chain-detection-analysis
Bishop Fox: CVE-2026-34908 safe detector
https://github.com/BishopFox/CVE-2026-34908-check
Lantronix: CVE-2025-67038 EDS5000
https://www.lantronix.com/technical-support/security-updates/vulnerability-disclosure-policy/vulnerability-library/cve-2025-67038-eds-5000-eds-3000/
INCIBE-CERT: CVE-2025-67038
https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-67038
ShiftCTRL: “John Sim” UniFi super-admin reports
https://shiftctrl.net/articles/unifi-john-sim-super-admin-bulletin-064

UniFi OS y Lantronix EDS5000 en el catálogo KEV de CISA: cuando administrar la red es la puerta de entrada