В операционной системе UniFi OS обнаружены семь критических уязвимостей - одна из них набрала максимальные 10 баллов по шкале CVSS
Ubiquiti экстренно латает дыры в своей экосистеме. Компания выпустила пакет обновлений, устраняющих семь критических уязвимостей сразу в нескольких продуктах - от приложений управления до маршрутизаторов и систем видеонаблюдения. Хуже всего обстоит дело с CVE-2026-50746: этот «баг» получил максимально возможную оценку угрозы - 10 из 10.
Что именно сломано и чем это грозит
Уязвимость CVE-2026-50746 прячется в приложении UniFi Connect - программном ядре, которое объединяет под единым интерфейсом все «умные» системы корпоративного уровня. Речь про интеллектуальное освещение, зарядные станции для электромобилей, здания и их инженерные подсистемы - словом, про то, что принято называть Enterprise of Things. Атакующему достаточно иметь доступ к сети, чтобы через некорректный контроль доступа пробраться на хост-устройство и выполнить там произвольные команды. Никакой сложной цепочки эксплойтов. Просто сеть - и всё.
Компрометация единого управляющего интерфейса означает потенциальный контроль над всей связанной инфраструктурой. Отключить освещение в офисном комплексе, заблокировать зарядные станции, вмешаться в работу систем безопасности - диапазон возможного ущерба широк. Именно поэтому максимальная оценка CVSS здесь выглядит вполне оправданно.
Уязвимость подтверждена для всех версий UniFi Connect Application вплоть до 3.4.16 включительно. Единственный способ закрыть брешь - обновиться до версии 3.4.20 или выше.
Остальные шесть: не легче
Помимо флагманской дыры, Ubiquiti разобралась ещё с шестью критическими проблемами. Они затрагивают:
- UniFi Talk - платформу корпоративной телефонии
- UniFi Access - системы контроля и управления доступом
- UniFi Protect - решения для видеонаблюдения
- UniFi OS Server - серверную часть операционной системы
- Маршрутизаторы, шлюзы и сетевые накопители Ubiquiti
Идентификаторы уязвимостей - CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115 и CVE-2026-55116. Подробности по каждой производитель раскрыл в официальном бюллетене безопасности.
Почему это важно именно сейчас
Оборудование Ubiquiti традиционно популярно в среднем и крупном бизнесе - из-за относительно невысокой цены и богатой функциональности. Миллионы устройств компании работают в корпоративных сетях по всему миру. Это делает любую критическую уязвимость в их экосистеме событием отраслевого масштаба, а не внутренней историей одного вендора.
Промедление с установкой патча здесь буквально опасно. Большинство выявленных уязвимостей не требует изощрённых техник для эксплуатации - порог входа для атакующего минимален. Администраторам инфраструктуры на базе UniFi стоит расставить приоритеты соответственно.