تحديث أمني من Ubiquiti لنظام UniFi يعالج 25 ثغرة أمنية

تحديثات طارئة لـ Ubiquiti تعالج ثغرات حرجة تتيح التحكم عن بُعد بالأجهزة الأمنية الحساسة.

تحديث أمني من Ubiquiti لنظام UniFi يعالج 25 ثغرة أمنية
ثغرة بدرجة خطورة قصوى تضع منظومة أجهزة الشبكات UniFi تحت تهديد الاختراق الكامل.

أعلنت شركة Ubiquiti إصدار نشرة الأمان رقم 066، والتي استهدفت معالجة 25 ثغرة أمنية مكتشفة في منظومة UniFi. تبرز من بين هذه الثغرات واحدة شديدة الخطورة منحت الحد الأقصى للتقييم بـ 10.0 درجات وفقاً لمقياس CVSS 3.1، حيث تمنح المهاجمين القدرة على حقن الأوامر البرمجية وتنفيذها عن بُعد دون الحاجة لامتلاك حساب أو تسجيل دخول مسبق. 

وبشكل عام، تُصنف 7 من هذه الثغرات تحت بند “الحرجة جداً”، في حين تندرج الثغرات الـ 18 الأخرى ضمن فئة “الخطورة العالية”؛ الأمر الذي يجعل التحديث العاجل خطوة ضرورية لحماية البنى التحتية للمؤسسات والمنازل.

وفيما يلي تفاصيل أبرز الثغرات الحرجة التي أوردتها النشرة الرسمية:

  • الثغرة CVE-2026-50746 بتقييم CVSS عند 10.0: تؤثر على تطبيق UniFi Connect، وتكمن خطورتها في السماح بالتحكم في الوصول وحقن الأوامر دون مصادقة.
  • الثغرة CVE-2026-50747 بتقييم CVSS عند 9.9: تستهدف تطبيق UniFi Talk، وتتمثل في إمكانية حقن أوامر SQL عبر الحسابات المصادق عليها.
  • الثغرة CVE-2026-50748 بتقييم CVSS عند 9.9: تطال تطبيق UniFi Access، وتتيح للمستخدمين المصادق عليهم حقن الأوامر نتيجة التحقق غير السليم من المدخلات.
  • الثغرة CVE-2026-54402 بتقييم CVSS عند 9.9: ترتبط بنظام التشغيل UniFi OS، وتسمح بحقن الأوامر واستغلال التحقق غير السليم من المدخلات حتى باستخدام صلاحيات متدنية.
  • الثغرة CVE-2026-55115 بتقييم CVSS عند 9.9: تصيب تطبيق UniFi Protect، وتتمحور حول تزوير طلبات من جانب الخادم (SSRF) من مستخدمين مصادق عليهم.

تكتسب هذه الثغرات خطورة مضاعفة نظراً لطبيعة وموقع أجهزة UniFi التي تعمل عادة على حواف الشبكات، وتدير تجهيزات حساسة مثل كاميرات المراقبة، وأنظمة الاتصالات، وبوابات التحكم في الدخول.

 تتيح الثغرة CVE-2026-50746 لأي مخترق متصل بالشبكة تشغيل رموز برمجية خبيثة مباشرة على الجهاز المستهدف دون قيود، بينما تسمح ثغرات حقن SQL وتزوير الطلبات من جانب الخادم (SSRF) للمستخدمين ذوي الامتيازات المحدودة برفع مستوى صلاحياتهم للوصول إلى صلاحيات المسؤول الكاملة (admin). 

كما كشفت النشرة عن نقاط ضعف أخرى تتعلق باجتياز المسار، وتجاوز آليات المصادقة، وهجمات حجب الخدمة (DoS)؛ وهي عيوب يمكن دمجها معاً لتعطيل متطلبات تسجيل الدخول كلياً.

طالت هذه التهديدات الأمنية مجموعة واسعة من التطبيقات تشمل UniFi Connect، وUniFi Talk، وUniFi Access، وUniFi Network، وUniFi Protect، بالإضافة إلى نظام التشغيل الأساسي UniFi OS المخصص لإدارة أجهزة UDM وUNVR وUNAS، وكشاف الإضاءة الذكي UniFi Protect Floodlight. 

واستجابة لذلك، أتاحت الشركة حزم التحديث البرمجية الآمنة التالية:

  • UniFi Connect 3.4.20
  • UniFi Talk 5.2.2
  • UniFi Access 4.2.29
  • UniFi Network 10.4.57
  • UniFi Protect 7.1.83
  • UniFi OS 5.1.19
  • UniFi Protect Floodlight 1.13.6

يذكر أن الأنظمة المستضافة سحابياً ستقوم بتثبيت هذه الترقيعات بشكل تلقائي، بينما تتطلب الخوادم والأنظمة ذاتية الاستضافة تدخل مدراء الشبكة لتطبيق التحديثات يدوياً.

ورغم تأكيد Ubiquiti في وثيقتها الرسمية عدم رصد أي هجمات نشطة أو استغلال علني لهذه الثغرات حتى تاريخ الإعلان، إلا أن تقارير غير رسمية أفادت برصد مؤشرات لمحاولات استغلال سبقت صدور الترقيع الأمني، وهو تناقض يتطلب تعاملاً حذراً ومستعجلاً مع الموقف. وتفرض مستويات الخطورة المرتفعة لهذه الثغرات الإسراع في سد الفجوات؛ إذ يعمد المهاجمون عادة إلى الهندسة العكسية للتحديثات فور صدورها لتطوير أدوات اختراق مخصصة. 

الجدير بالذكر أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) كانت قد أدرجت سابقاً في أبريل 2022 ثغرة حقن أوامر حرجّة تخص نظام Ubiquiti AirOS ضمن قائمة الثغرات المستغلة فعلياً، ما يؤكد وجود اهتمام مستمر من قِبل جماعات التهديد باستهداف منتجات الشركة.

وفي ختام نشرتها، أعربت Ubiquiti عن تقديرها لجهود الباحثين الأمنيين المستقلين الذين ساهموا في رصد هذه المشكلات والإبلاغ عنها بشكل مسؤول؛ حيث نجح الباحث عبد العزيز المضحي من Catchify Security في اكتشاف 6 ثغرات موزعة عبر تطبيقات مختلفة، في حين رصد الباحث براندون روسي 4 ثغرات في تطبيقي Protect وAccess، إلى جانب إسهامات باحثين آخرين رصدوا بقية العيوب.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى