Ubiquiti publica CVE-2026-50746 con CVSS 10.0 en UniFi Connect y expone 100 mil endpoints a Internet

Falla de control de acceso permite ejecución de comando sin autenticación en red adyacente e integra el paquete SAB-066, que corrige 25 vulnerabilidades en la línea UniFi.
Ubiquiti publicó este miércoles el boletín de seguridad SAB-066, que corrige 25 vulnerabilidades en el portafolio UniFi. La más severa, CVE-2026-50746, recibió CVSS 10.0 y afecta a la Aplicación UniFi Connect en versiones iguales o inferiores a 3.4.16. El parche está en la versión 3.4.20.
La clase de la falla es Improper Access Control (CWE-284). La ruta de ejecución de comandos de UniFi Connect es accesible sin autenticación, lo que permite a un atacante en posición de red adyacente la capacidad de ejecutar código arbitrario en el host. El vector CVSS registra un ataque de baja complejidad, sin privilegios requeridos y sin interacción del usuario. En términos operativos, es el peor perfil posible: una vez que el atacante tiene visibilidad IP del servicio, el compromiso es inmediato.
Escala de exposición
Datos de Censys, referenciados por múltiples investigadores de seguridad que analizaron el boletín, indican aproximadamente 100 mil endpoints UniFi OS alcanzables a través de Internet pública. El número incluye dispositivos de las familias UDM, UNVR y UNAS, que comparten la base UniFi OS incluso cuando el UniFi Connect no está en uso. No todos ejecutan el componente vulnerable, pero la superficie candidata a una evaluación urgente es una de las más grandes del año.
El SAB-066 trae otros dos CVSS 9.9. El CVE-2026-54402 permite inyección de comandos en UniFi OS. El CVE-2026-55115 permite escalada de privilegios a través de SSRF en UniFi Protect, el sistema de video del proveedor. Juntos, los tres vectores cubren la cadena de administración de la red, desde el orquestador de dispositivos hasta el subsistema de seguridad física.
Dónde la falla realmente duele
UniFi Connect es la consola que Ubiquiti vende para la operación de edificios: gestión de iluminación LED, cargadores de vehículos eléctricos e integraciones con control de acceso. En entornos corporativos, la consola suele ejecutarse en una red segmentada de facilities, aislada de la producción pero casi nunca del datacenter de gestión. Es una superficie típica de ataque lateral: comprometer facilities da acceso al AD corporativo en una parte relevante de las instalaciones.
Las empresas que han estandarizado UniFi en retail, coworking y logística suelen tener decenas o cientos de sitios con el mismo template de red. La operación de parcheo, en este escenario, no es una actualización de un servidor central: es un despliegue coordinado en cada local, a menudo dependiente de una ventana nocturna y sin SLA de un proveedor local.
Lectura para SOCs en varios mercados
En Estados Unidos, el mercado SMB y el mid-market concentran una parte significativa de la base UniFi, exactamente el segmento con menor madurez en la gestión de vulnerabilidades. Proveedores de red gestionados que atienden esta base tendrán semanas de trabajo para cerrar el backlog. En Europa, el boletín llega en el marco de vigencia del NIS2, que exige a operadores esenciales reporte y mitigación en plazos cortos: un incidente asociado a este CVE en una cadena de supermercados o operador logístico activa la obligación de notificación en varios países del bloque.
En Brasil, la Anatel homologa buena parte de la línea UniFi y el producto es común en centros comerciales, hospitales y clínicas de mediano tamaño. La LGPD y la Resolución BC 4.658 le dan a la falla un peso regulatorio en operaciones financieras que tercerizan la gestión de red física. En mercados como Japón y Singapur, la densidad de UniFi en edificios comerciales recién integrados a plataformas de smart building coloca la actualización en una ventana aún más estrecha, con integradores teniendo que coordinar parches con contratos de mantenimiento de edificios.
Qué hacer además del parche
El fabricante recomienda una actualización inmediata a UniFi Connect 3.4.20 o superior y revisión de los demás elementos del SAB-066. Los equipos de seguridad que no puedan aplicar el parche en las próximas 24 horas deben cortar el acceso al plan de gestión proveniente de Internet, forzar VPN para la administración y revisar registros de red en busca de accesos anómalos al endpoint de la aplicación. Censys ya listó en las horas siguientes al boletín consultas listas para identificar la versión vulnerable en masa, lo que reduce el tiempo entre publicación y barrido oportunista. Los equipos de detección también deben activar reglas para el patrón de carga útil típico de explotación de CWE-284 en el endpoint HTTP de UniFi Connect y revisar la telemetría de salida de los dispositivos, ya que la exfiltración tras la ejecución de comandos suele pasar por túneles DNS mal filtrados en segmentos de facilities.
El caso vuelve a exponer una elección que los CISOs han venido posponiendo: cuando el mismo proveedor entrega switch, cámara y control de acceso, una falla crítica pasa a afectar tres dominios al mismo tiempo. La convergencia de infraestructuras simplifica la compra y complica la respuesta.