【安全资讯】Ubiquiti UniFi 网络应用曝出最高严重性漏洞，可导致账户被接管

概要：

近日，网络设备制造商Ubiquiti为其UniFi Network Application修复了两个安全漏洞，其中一个被评定为最高严重性等级。该漏洞可能允许攻击者在无需用户交互的情况下，接管用户账户，对使用该软件管理网络硬件的企业及个人用户构成严重威胁。鉴于Ubiquiti设备曾被国家级黑客组织用于构建僵尸网络，此类漏洞的潜在影响不容小觑。

主要内容：

该漏洞编号为CVE-2026-22557，影响UniFi Network Application 10.1.85及更早版本。其核心是一个路径遍历漏洞，允许未经授权的攻击者访问目标设备上的文件。通过操纵这些文件，攻击者能够获取底层系统账户的访问权限，进而实现账户劫持。整个攻击过程复杂度低，且无需用户交互，大大降低了攻击门槛。

Ubiquiti同时修复了另一个权限提升漏洞。该漏洞是一个经过身份验证的NoSQL注入漏洞，允许已获得低权限访问的恶意行为者进一步提升其权限，从而获得对网络应用更广泛的控制能力。这两个漏洞的组合利用可能对网络安全管理造成严重破坏。

近年来，Ubiquiti产品已成为国家支持的黑客组织和网络犯罪分子的目标。例如，2024年，FBI曾捣毁一个由被入侵的Ubiquiti Edge OS路由器组成的僵尸网络，该网络被俄罗斯GRU用于在针对美国及其盟友的攻击中代理恶意流量。此次曝出的新漏洞可能为类似恶意活动提供新的入口点。

用户应立即将UniFi Network Application升级至10.1.89或更高版本以修复漏洞。对于依赖该平台进行网络管理的组织，尤其是政府、IT基础设施提供商等，需立即评估风险并采取行动，防止潜在的大规模账户接管和数据泄露事件。