优倍快:注意这个CVSS满分的UniFiOS漏洞

admin 2026-07-10 05:53:42 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 优倍快修复了UniFiOS中七个严重漏洞,其中CVE-2026-50746为CVSS满分命令注入漏洞,影响UniFiConnectApplication3.4.16及更早版本。攻击者可利用访问控制不当执行命令注入。建议用户升级至3.4.20或更高版本。此外,其他六个漏洞也需关注,历史显示此类漏洞常被用于构建僵尸网络。 综合评分: 78 文章分类: 漏洞预警,漏洞分析,网络安全


cover_image

优倍快:注意这个CVSS满分的 UniFi OS 漏洞

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年7月9日 14:57 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

优倍快(Ubiquiti)发布安全更新,修复了UniFi OS中的七个严重漏洞,其中CVE-2026-50746的CVSS评分为满分,可被用于命令注入攻击。

CVE-2026-50746影响管理软件套件UniFi Connect Application(3.4.16及更早版本)。优倍快客户可通过该产品的统一界面,自动化和管理商业建筑运营(包括智能LED照明系统和电动汽车充电桩)。优倍快解释称:“拥有网络访问权限的恶意攻击者,可利用UniFi Connect Application中存在的访问控制不当漏洞,在主机设备上执行命令注入。”该公司建议用户将受影响的UniFi Connect应用更新至3.4.20或更高版本,以防范潜在攻击。

本周四,优倍快还修补了UniFi Talk、UniFi Access、UniFi Protect应用,以及UniFi OS Server和众多优倍快路由器、网关、NAS及监控系统中的另外六个严重安全问题(CVE-2026-50747、CVE-2026-50748、CVE-2026-54400、CVE-2026-54402、CVE-2026-55115、CVE-2026-55116)。

优倍快尚未披露这些漏洞在被修复前是否已遭在野利用,但透露其中六个漏洞可在低复杂度攻击中被利用,且无需用户交互。

威胁情报公司Censys目前追踪到超过10万个在线暴露的UniFi OS实例,其中大多数(近5万个IP地址)位于美国。但目前尚不清楚其中有多少已针对这些安全漏洞完成加固,以及是否存在蜜罐。此外,Censys数据包含历史扫描结果,可能无法准确反映当前在互联网上暴露的系统数量。

近年来,国家支持的黑客团伙和网络犯罪组织经常以优倍快产品为目标,将其劫持以构建用于隐藏恶意活动的僵尸网络。例如,2024年2月,FBI捣毁的Moobot是一个由优倍快Edge OS路由器组成的僵尸网络,被俄罗斯总参谋部情报总局(GRU)用于在网络间谍攻击中代理恶意流量。更早之前,2022年4月,美国网络安全和基础设施安全局(CISA)也曾将优倍快AirOS中的一个关键命令注入漏洞(CVE-2010-5330)列入其活跃利用漏洞目录,并要求政府机构在三周内完成补丁安装。近期,今年6月,CISA警告称黑客正在积极利用一个月前已修复的三个最高严重级别的UniFi OS漏洞,并要求各机构在三天内完成系统加固。随后,Bishop Fox公司演示了这些漏洞可被串联利用,以实现提权后的远程代码执行,并发布了一个免费检测脚本,帮助防御者发现其环境中的易受攻击实例。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

JetBrains 修复 CVSS 满分漏洞,影响1500万开发

Adobe 修复多个 CVSS 满分漏洞

谷歌拒修 Kubernetes 操作器满分漏洞并拒发赏金

CISA 要求联邦机构在本周五前修复Joomla 插件满分漏洞

宏碁:注意 Wave 7 路由器中的这两个CVSS满分 0day

原文链接

https://www.bleepingcomputer.com/news/security/ubiquiti-warns-of-new-max-severity-unifi-os-vulnerability/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Sergiu Gatlan Sergiu Gatlan《优倍快:注意这个CVSS满分的 UniFi OS 漏洞》

评论:0   参与:  0