Ubiquiti tiene actualizaciones enviadas para abordar múltiples fallas de seguridad críticas que afectan a UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect y UniFi OS que podrían resultar en una escalada de privilegios y la ejecución de comandos arbitrarios.
La lista de vulnerabilidades es la siguiente:
- CVE-2026-50746 (Puntuación CVSS: 10,0): una vulnerabilidad de control de acceso inadecuado en la aplicación UniFi Connect que un atacante con acceso a la red podría aprovechar para ejecutar una inyección de comando en el dispositivo host. (Afecta a las versiones 3.4.16 y anteriores; solucionado en la versión 3.4.20)
- CVE-2026-50747 (Puntuación CVSS: 9,9): una serie de vulnerabilidades de inyección SQL autenticadas en la aplicación UniFi Talk que un atacante con acceso a la red podría aprovechar para escalar privilegios en el dispositivo host. (Afecta a las versiones 5.1.2 y anteriores; solucionado en la versión 5.2.2)
- CVE-2026-50748 (Puntuación CVSS: 9,9): una vulnerabilidad de validación de entrada incorrecta en la aplicación UniFi Access que un atacante con acceso a la red podría aprovechar para ejecutar una inyección de comando en el dispositivo host. (Afecta a las versiones 4.2.28 y anteriores; solucionado en la versión 4.2.29)
- CVE-2026-54400 (Puntuación CVSS: 9,1): una vulnerabilidad de control de acceso inadecuado en la aplicación UniFi Access que un atacante con acceso a la red podría aprovechar para escalar privilegios en el dispositivo host. (Afecta a las versiones 4.2.28 y anteriores; solucionado en la versión 4.2.29)
- CVE-2026-55115 (Puntuación CVSS: 9,9): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en la aplicación UniFi Protect que un atacante con acceso a la red y privilegios bajos podría aprovechar para escalar privilegios en el dispositivo host. (Afecta a 7.1.77 y anteriores; solucionado en la versión 7.1.83)
- CVE-2026-54402 (Puntuación CVSS: 9,9): una vulnerabilidad de validación de entrada incorrecta en el sistema operativo UniFi que un atacante con acceso a la red podría aprovechar para ejecutar una inyección de comando en el dispositivo host. (Afecta a las versiones 5.1.15 y anteriores; solucionado en la versión 5.1.19)
- CVE-2026-55116 (Puntuación CVSS: 9,0): una vulnerabilidad de control de acceso inadecuado en el sistema operativo UniFi que un atacante con acceso a la red podría aprovechar para realizar cambios no autorizados en ciertos dispositivos. (Afecta a las versiones 5.1.15 y anteriores; solucionado en la versión 5.1.19)
Si bien no hay evidencia de que las fallas hayan sido explotadas en la naturaleza, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) señaló que un conjunto de tres vulnerabilidades en el sistema operativo UniFi (CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910) habían sido utilizadas como arma en ataques del mundo real el mes pasado.
También se ha observado que actores de amenazas patrocinados por el estado ruso reclutan enrutadores Ubiquiti Edge OS comprometidos en una botnet diseñada para representar tráfico malicioso. La botnet, denominada MooBot, fue derribada en una operación policial en febrero de 2024.



