قامت Ubiquiti بشحن تحديثات لمعالجة العديد من العيوب الأمنية الخطيرة التي تؤثر على UniFi Connect وUniFi Talk وUniFi Access وUniFi Protect وUniFi OS والتي قد تؤدي إلى تصعيد الامتيازات وتنفيذ الأوامر التعسفية.
قائمة نقاط الضعف هي كما يلي –
- CVE-2026-50746 (درجة CVSS: 10.0) – ثغرة أمنية غير مناسبة للتحكم في الوصول في تطبيق UniFi Connect والتي يمكن أن يستغلها مهاجم لديه حق الوصول إلى الشبكة لتنفيذ حقنة أوامر على الجهاز المضيف. (يؤثر على الإصدارات 3.4.16 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 3.4.20)
- CVE-2026-50747 (درجة CVSS: 9.9) – سلسلة من الثغرات الأمنية لحقن SQL في تطبيق UniFi Talk والتي يمكن للمهاجم الذي لديه حق الوصول إلى الشبكة استغلالها لتصعيد الامتيازات على الجهاز المضيف. (يؤثر على الإصدارات 5.1.2 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 5.2.2)
- CVE-2026-50748 (درجة CVSS: 9.9) – ثغرة أمنية غير صحيحة للتحقق من صحة الإدخال في تطبيق UniFi Access، والتي يمكن أن يستغلها مهاجم لديه حق الوصول إلى الشبكة لتنفيذ حقنة أوامر على الجهاز المضيف. (يؤثر على الإصدارات 4.2.28 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 4.2.29)
- CVE-2026-54400 (درجة CVSS: 9.1) – ثغرة أمنية غير مناسبة للتحكم في الوصول في تطبيق UniFi Access والتي يمكن أن يستغلها مهاجم لديه حق الوصول إلى الشبكة لتصعيد الامتيازات على الجهاز المضيف. (يؤثر على الإصدارات 4.2.28 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 4.2.29)
- CVE-2026-55115 (درجة CVSS: 9.9) – ثغرة أمنية في تزوير طلب الخادم (SSRF) في تطبيق UniFi Protect والتي يمكن للمهاجم الذي يتمتع بإمكانية الوصول إلى الشبكة والامتيازات المنخفضة استغلالها لتصعيد الامتيازات على الجهاز المضيف. (يؤثر على الإصدار 7.1.77 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 7.1.83)
- CVE-2026-54402 (درجة CVSS: 9.9) – ثغرة أمنية غير صحيحة للتحقق من صحة الإدخال في نظام التشغيل UniFi OS والتي يمكن أن يستغلها مهاجم لديه حق الوصول إلى الشبكة لتنفيذ حقنة أوامر على الجهاز المضيف. (يؤثر على الإصدارات 5.1.15 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 5.1.19)
- CVE-2026-55116 (درجة CVSS: 9.0) – ثغرة أمنية غير مناسبة للتحكم في الوصول في نظام التشغيل UniFi OS والتي يمكن أن يستغلها مهاجم لديه حق الوصول إلى الشبكة لإجراء تغييرات غير مصرح بها على أجهزة معينة. (يؤثر على الإصدارات 5.1.15 والإصدارات الأقدم؛ تم إصلاحه في الإصدار 5.1.19)
على الرغم من عدم وجود دليل على استغلال العيوب بشكل فعلي، إلا أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) حددت مجموعة من ثلاث نقاط ضعف في نظام التشغيل UniFi (CVE-2026-34908، وCVE-2026-34909، وCVE-2026-34910) على أنها تم استخدامها كسلاح في هجمات حقيقية الشهر الماضي.
وقد لوحظ أيضًا أن جهات التهديد الروسية التي ترعاها الدولة تقوم بتجنيد أجهزة توجيه Ubiquiti Edge OS المخترقة في شبكة الروبوتات المصممة لتوكيل حركة المرور الضارة. وتم إسقاط شبكة الروبوتات، التي يطلق عليها اسم MooBot، في عملية لإنفاذ القانون في فبراير 2024.
