优比快(Ubiquiti)修复UniFi操作系统多高危漏洞,漏洞可实现命令注入与权限提升

admin 2026-07-12 05:48:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 优比快修复UniFi操作系统7个高危漏洞,含CVSS10.0命令注入漏洞CVE-2026-50746。其他漏洞涉及SQL注入、SSRF、CORS配置错误等,影响UniFiConnect、Talk、Access等应用。厂商建议升级至066号安全公告所列版本,暂未确认在野利用。用户应尽快更新以降低风险。 综合评分: 83 文章分类: 漏洞分析,安全建设


cover_image

优比快(Ubiquiti)修复 UniFi 操作系统多高危漏洞,漏洞可实现命令注入与权限提升

鹏鹏同学 鹏鹏同学

黑猫安全

2026年7月9日 08:43 湖北

在小说阅读器读本章

去阅读

优比快(Ubiquiti)针对 UniFi 操作系统的 7 个高危漏洞发布安全更新,其中包含一款最高严重级漏洞,漏洞编号 CVE-2026-50746(CVSS 评分 10.0),可被用于实施命令注入攻击。

该漏洞影响 3.4.16 及更早版本的 UniFi Connect 应用,该平台用于管控商用楼宇配套系统,例如智能照明、电动汽车充电桩等。使用受影响版本的企业机构应尽快完成升级,降低设备遭入侵的风险。

厂商安全通告中写道:“具备内网访问权限的恶意攻击者,可利用 UniFi Connect 应用中存在的不当访问控制漏洞,在宿主机设备上实施命令注入攻击。”

厂商同时修复了其余六项高危漏洞:

  1. CVE-2026-50747(CVSS 评分 9.9):漏洞作用于 UniFi Talk 应用,属于认证后 SQL 注入漏洞。拥有内网访问权限的低权限攻击者可利用该漏洞完成权限提升,获取宿主机更高管控权限。
  2. CVE-2026-50748(CVSS 评分 9.9):漏洞影响 UniFi Access 应用,成因是输入校验机制不完善。内网低权限攻击者可借此在宿主机执行任意系统命令。
  3. CVE-2026-54400(CVSS 评分 9.1):漏洞针对 UniFi Access 应用,由访问控制逻辑缺陷引发。高权限攻击者可利用该漏洞在受影响主机上进一步提权。
  4. CVE-2026-54402(CVSS 评分 9.9):波及多款 UniFi OS 设备,内网低权限攻击者可通过服务端请求伪造(SSRF)漏洞进行利用,存在 UniFi OS 环境内权限提升风险。
  5. CVE-2026-55115(CVSS 评分 9.9):影响 UniFi OS 与 UniFi Protect 安防系统,根源为跨域资源共享(CORS)配置错误。攻击者可盗用受害者已登录会话,执行未授权操作。
  6. CVE-2026-55116(CVSS 评分 9.0):存在于部分 UniFi OS 设备,特定网络环境下,攻击者可借助访问控制缺陷非法篡改设备配置。

优比快建议用户将受影响产品升级至 066 号安全公告所列修复版本。

厂商暂未确认上述漏洞是否已出现野外真实攻击利用案例。

今年 6 月,美国网络安全与基础设施安全局(CISA)已将以下优比快 UniFi OS 漏洞录入已知在野利用漏洞(KEV)清单:

  • CVE-2026-34910 优比快 UniFi OS 输入校验不当漏洞
  • CVE-2026-34908 优比快 UniFi OS 访问控制缺陷漏洞
  • CVE-2026-34909 优比快 UniFi OS 路径遍历漏洞

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《优比快(Ubiquiti)修复 UniFi 操作系统多高危漏洞,漏洞可实现命令注入与权限提升》

评论:0   参与:  0