[TLP:CLEAR] Ubiquiti UniFi opravuje 25 zraniteľností v rôznych produktoch

Ubiquiti opravuje 25 zraniteľností v rôznych UniFi produktoch [1], kritické zraniteľnosti sú popísané nižšie. Jednotlivé produkty a ich opravené verzie [1]: UniFi Connect Application - 3.4.20 UniFi Talk Application - 5.2.2 UniFi Access Application - 4.2.29 UniFi OS - 5.1.19 (výpis konkrétnych postihnutých zariadení dostupný na [1]) UniFi Network Application - 10.4.57 UniFi Protect Application - 7.1.83 UniFi Protect Floodlight - 1.13.6

UniFi Connect Application - command injection (CVE-2026-50746)
CVSS 10.0 (Critical)

Neautentizovanému vzdialenému útočníkovi je v UniFi Connect Application kvôli nedostatočnej kontrole prístupu umožnené vykonávať príkazy v zariadení [1].

Zraniteľnosť sa nachádza v produkte UniFi Connect Application vo verziách <3.4.20.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2026.

UniFi Talk Application - privileges escalation (CVE-2026-50747)
CVSS 9.9 (Critical)

Autentizovanému vzdialenému útočníkovi je v UniFi Talk Application umožnené zvýšiť svoje oprávnenia pomocou SQL injection útoku [1].

Zraniteľnosť sa nachádza v produkte UniFi Talk Application vo verziách <5.1.2.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2026.

UniFi Access Application - command injection (CVE-2026-50748)
CVSS 9.9 (Critical)

Autentizovanému vzdialenému útočníkovi je v UniFi Access Application v dôsledku nedostatočnej kontroly vstupu umožnené vykonávať príkazy [1].

Zraniteľnosť sa nachádza v produkte UniFi Access Application vo verziách <4.2.29.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2026.

UniFi OS - command injection (CVE-2026-54402)
CVSS 9.9 (Critical)

Autentizovanému vzdialenému útočníkovi je v UniFi OS v dôsledku nedostatočnej kontroly vstupu umožnené vykonávať príkazy v zariadení [1].

Zraniteľnosť sa nachádza v produkte UniFi OS vo verziách <5.1.19.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2026.

UniFi Protect Application - privileges escalation (CVE-2026-55115)
CVSS 9.9 (Critical)

Autentizovanému vzdialenému útočníkovi je v UniFi Protect Application vykonaním SSRF útoku umožnené zvýšiť svoje oprávnenia [1].

Zraniteľnosť sa nachádza v produkte UniFi Protect Application vo verziách <7.1.83.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2026.


Za CESNET-CERTS Martin Krajči dňa 10. 7. 2026.

CESNET-CERTS Logo