Когда 10 из 10 — это очень плохие новости. Ubiquiti бьёт рекорды по опасности найденных ошибок

Ubiquiti выпустила срочное обновление для устранения сразу двух уязвимостей в UniFi Network Application — популярном решении для управления сетевым оборудованием.

Основная проблема получила идентификатор CVE-2026-22557 и максимальную оценку по CVSS 10 из 10. Ошибка связана с некорректной обработкой путей — при наличии доступа к сети атакующий может читать файлы на системе и использовать их для получения контроля над учётной записью.

Под угрозой оказались все версии UniFi Network Application, выпущенные до 18 марта 2026 года. Наибольший риск затрагивает инсталляции, доступные из интернета. Разработчик рекомендует администраторам как можно быстрее обновить как стабильные версии, так и тестовые сборки приложения, а также установить обновлённую прошивку UniFi Express, в которую уже включена защищённая версия ПО.

Вторая уязвимость с идентификатором CVE-2026-22558 получила оценку 7,7 балла и связана с NoSQL-инъекцией. Для её эксплуатации требуется авторизация, однако после входа злоумышленник может повысить привилегии и расширить контроль над системой.

UniFi Network Application широко используют как энтузиасты домашних лабораторий, так и продвинутые пользователи. Приложение можно развернуть на Linux, Windows, macOS или в контейнере Docker, что увеличивает разнообразие потенциально уязвимых сред.

Чтобы снизить риски при задержках с установкой обновлений, Ubiquiti советует переходить на UniFi OS Server для самостоятельных установок. Платформа объединяет весь набор инструментов UniFi и упрощает получение актуальных обновлений.

В уведомлении не указано, зафиксировала ли компания реальные атаки с использованием этих уязвимостей. Уязвимыми считаются версии UniFi Network Application до 10.1.85 в стабильной ветке, до 10.2.93 среди тестовых сборок и до 9.0.114 на устройствах UniFi Express.