// 3 ZERO-DAY · 3 CVE · 2 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Ubiquiti ha rilasciato aggiornamenti per sette vulnerabilità critiche in UniFi OS. CVE-2026-50746 ha CVSS 10.0 e permette command injection senza credenziali. Oltre

Ubiquiti ha rilasciato il 8 luglio 2026 aggiornamenti di sicurezza per sette vulnerabilità critiche in UniFi OS. La più grave, CVE-2026-50746, raggiunge il punteggio massimo di CVSS 10.0: un attaccante di rete può eseguire comandi arbitrari sul dispositivo host senza credenziali né interazione dell'utente. L'evento si colloca in un pattern preoccupante, il terzo advisory critico dell'azienda tra marzo e luglio 2026.

Punti chiave
  • CVE-2026-50746 ha CVSS 10.0, il punteggio massimo possibile: network-based, zero privilegi, zero interazione, scope changed
  • La falla risiede in UniFi Connect Application versioni 3.4.16 e precedenti; la patch richiede l'aggiornamento alla 3.4.20 o successiva
  • Sei delle sette vulnerabilità patchate sono sfruttabili con complessità bassa e senza interazione utente
  • Censys rileva oltre 100.000 istanze UniFi OS esposte su internet, quasi 50.000 negli Stati Uniti

Il meccanismo della falla: access control difettoso che apre al command injection

Secondo l'avviso di Ubiquiti citato da BleepingComputer, CVE-2026-50746 è radicata in un difetto di Improper Access Control (CWE-284) nell'UniFi Connect Application. La vulnerabilità consente a un attore malevolo con accesso alla rete di iniettare comandi sul dispositivo host.

Il vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H lo conferma: attacco da remoto (AV:N), complessità bassa (AC:L), nessun privilegio richiesto (PR:N), nessuna interazione utente (UI:N). Il flag Scope Changed (S:C) indica che l'impatto supera i confini del componente vulnerabile, estendendosi all'intero sistema sottostante.

"A malicious actor with access to the network could exploit an Improper Access Control vulnerability found in UniFi Connect Application to execute a Command Injection on the host device" — Ubiquiti, via BleepingComputer

Il National Vulnerability Database (NVD) ha pubblicato il record ufficiale di CVE-2026-50746 con il medesimo vettore e CWE-284. Il CISA-ADP ha applicato lo scoring SSVC con automatable:'yes' e technicalImpact:'total', segnalando che l'exploit è tecnicamente automatizzabile con impatto totale sul sistema.

Il pacchetto di luglio: sette CVE, molti prodotti nel perimetro

L'advisory del 8 luglio non si limita a CVE-2026-50746. Ubiquiti ha patchato altre sei vulnerabilità critiche con identificativi CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115 e CVE-2026-55116. Queste interessano una gamma estesa di prodotti: UniFi Talk, UniFi Access, UniFi Protect, UniFi OS Server, router, gateway, NAS e sistemi di sorveglianza.

Sei delle sette vulnerabilità sono sfruttabili con attacchi a bassa complessità e senza interazione utente, secondo BleepingComputer. Non tutte condividono però il profilo di rischio di CVE-2026-50746: CVE-2026-50747 e CVE-2026-50748 registrano CVSS 9.9, mentre CVE-2026-54400 si ferma a 9.1, con privilegi elevati richiesti (PR:H). Ogni prodotto ha versioni di fix distinte: il riferimento 3.4.20 riguarda esclusivamente UniFi Connect Application.

Un pattern ricorrente: la "patch fatigue" di Ubiquiti

Il dossier redazionale documenta un'accelerazione preoccupante. A marzo 2026, l'advisory su CVE-2026-22557 nella UniFi Network Application ha richiesto patch urgenti. A giugno, CVE-2026-34910 — un'altra falla di command injection in UniFi OS con CVSS 10.0 — è stata segnalata come attivamente sfruttata da fonti di sicurezza. Il 29 giugno 2026, l'advisory del Cyber Security Agency di Singapore (CSA) ha catalogato tre vulnerabilità UniFi OS, sempre con severità massima.

Ora luglio aggiunge un settimo CVE critico con la stessa matrice di attacco: network-based, zero autenticazione, command injection. La ricorrenza di questa combinazione suggerisce che il problema non sia un difetto isolato ma una tensione strutturale nel secure development lifecycle di Ubiquiti, in particolare nella validazione dei controlli di accesso e nella sanitizzazione degli input nel perimetro esposto alla rete.

L'esposizione reale: oltre 100.000 istanze su internet

I dati Censys citati da BleepingComputer quantificano il rischio: oltre 100.000 istanze UniFi OS sono esposte su internet, con quasi 50.000 indirizzi IP concentrati negli Stati Uniti. Questa superficie d'attacco colpisce in prevalenza ambienti SMB e prosumer, dove le risorse di sicurezza sono limitate e la gestione centralizzata delle patch è spesso assente.

Il contesto storico amplia la preoccupazione. Nel 2024, dispositivi Ubiquiti sono stati compromessi dalla botnet Moobot, con attribuzione non confermata al GRU russo. L'exploitation attiva di vulnerabilità UniFi precedenti, documentata nel giugno 2026, dimostra che gli attori di minaccia tracciano questi sistemi come obiettivi prioritari.

Non è dato sapere quante delle istanze esposte siano già state patchate o quante siano honeypot. Ubiquiti non ha divulgato se CVE-2026-50746 sia stata sfruttata in-the-wild prima del rilascio delle correzioni.

Cosa fare adesso

  • Aggiornare UniFi Connect Application alla versione 3.4.20 o successiva, che corregge CVE-2026-50746
  • Applicare le patch specifiche per ciascun prodotto interessato dall'advisory del 8 luglio 2026, verificando la versione corretta per UniFi Talk, Access, Protect, OS Server e periferiche di rete
  • Limitare l'esposizione internet-facing delle interfacce di gestione UniFi OS, riducendo la superficie d'attacco per i vettori network-based
  • Monitorare i log di accesso alla rete per attività anomale dirette ai servizi UniFi Connect Application, data la facilità di exploit e l'assenza di requisiti di autenticazione

Perché il caso solleva questioni di governance

La sequenza marzo-giugno-luglio 2026 pone un interrogativo che va oltre la singola patch. Quando un vendor rilascia tre advisory critici in quattro mesi con lo stesso archetipo tecnico — improper access control che degenera in command injection — il mercato deve valutare se la radice sia nel codice legacy o in un processo di secure design che non tiene il passo con la complessità del perimetro di attacco.

Per gli amministratori di rete, l'urgenza è operativa e immediata. Il CVSS 10.0 con PR:N/UI:N significa che ogni istanza esposta è un potenziale punto di ingresso con costo di attacco prossimo allo zero. La domanda che resta aperta, e che solo Ubiquiti può rispondere, è se il ritmo degli advisory critici si sta stabilizzando o se luglio 2026 è il preludio a un ciclo più ampio.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. bleepingcomputer.com
  2. thehackernews.com
  3. truesec.com
  4. integsec.com
  5. csa.gov.sg
  6. cybernews.com
  7. nvd.nist.gov
  8. cve.org