Ubiquiti divulga CVE-2026-50746 com CVSS 10.0 no UniFi Connect e expõe 100 mil endpoints à internet

Falha de controle de acesso permite execução de comando sem autenticação em rede adjacente e integra o pacote SAB-066, que corrige 25 vulnerabilidades na linha UniFi.
A Ubiquiti publicou nesta quarta-feira o boletim de segurança SAB-066, que corrige 25 vulnerabilidades no portfólio UniFi. A mais severa, CVE-2026-50746, recebeu CVSS 10.0 e afeta o UniFi Connect Application em versões iguais ou inferiores à 3.4.16. O patch está na versão 3.4.20.
A classe da falha é Improper Access Control (CWE-284). O caminho de execução de comando do UniFi Connect é acessível sem autenticação, o que dá a um atacante em posição de rede adjacente a capacidade de rodar código arbitrário no host. O vetor CVSS registra ataque de baixa complexidade, sem privilégios exigidos e sem interação de usuário. Em linguagem de operações, é o pior perfil possível: uma vez que o atacante tem visibilidade IP do serviço, o comprometimento é imediato.
Escala da exposição
Dados da Censys, referenciados por múltiplos pesquisadores de segurança que analisaram o boletim, indicam cerca de 100 mil endpoints UniFi OS alcançáveis pela internet pública. O número inclui appliances das famílias UDM, UNVR e UNAS, que compartilham a base UniFi OS mesmo quando o UniFi Connect não está em uso. Nem todos rodam o componente vulnerável, mas a superfície candidata a triagem urgente é uma das maiores do ano.
O SAB-066 traz outros dois CVSS 9.9. O CVE-2026-54402 abre injeção de comando no UniFi OS. O CVE-2026-55115 permite escalada de privilégio via SSRF no UniFi Protect, o sistema de vídeo do fornecedor. Somados, os três vetores cobrem a cadeia de administração da rede, do orquestrador de dispositivos ao subsistema de segurança física.
Onde a falha realmente dói
O UniFi Connect é o console que Ubiquiti vende para operação predial: gerenciamento de iluminação LED, carregadores de veículo elétrico e integrações com controle de acesso. Em ambientes corporativos, o console costuma rodar em rede segmentada de facilities, isolada da produção mas quase nunca do datacenter de gestão. É uma superfície típica de ataque lateral: comprometer facilities dá pivô para o AD corporativo em uma parcela relevante das instalações.
Empresas que padronizaram UniFi em varejo, coworking e logística costumam ter dezenas ou centenas de sites com o mesmo template de rede. A operação de patch, nesse cenário, não é upgrade de um servidor central: é rollout coordenado em cada local, muitas vezes dependente de janela noturna e sem SLA de fornecedor local.
Leitura para SOCs em vários mercados
Nos Estados Unidos, o mercado SMB e o mid-market concentram parte significativa da base UniFi, exatamente o segmento com menor maturidade de gestão de vulnerabilidades. Provedores gerenciados de rede que atendem essa base terão semanas de trabalho para fechar o backlog. Na Europa, o boletim chega em cima da vigência do NIS2, que exige a operadores essenciais reporte e mitigação em prazos curtos: um incidente ligado a esse CVE em uma cadeia de supermercados ou operador logístico dispara obrigação de notificação em vários países do bloco.
No Brasil, a Anatel homologa boa parte da linha UniFi e o produto é comum em shoppings, hospitais e clínicas de médio porte. A LGPD e a Resolução BC 4.658 dão à falha peso regulatório em operações financeiras que terceirizam gestão de rede física. Já em mercados como Japão e Cingapura, a densidade de UniFi em prédios comerciais recém-integrados a plataformas de smart building coloca a atualização em uma janela ainda mais estreita, com integradores tendo que coordenar patch com contratos de manutenção predial.
O que fazer além do patch
O fabricante recomenda upgrade imediato para UniFi Connect 3.4.20 ou superior e revisão dos demais itens do SAB-066. Times de segurança que não podem aplicar patch nas próximas 24 horas devem cortar acesso ao plano de gerenciamento vindo da internet, forçar VPN para administração e revisar logs de rede em busca de acesso anômalo ao endpoint da aplicação. Censys já listou nas horas seguintes ao boletim consultas prontas para identificação da versão vulnerável em massa, o que reduz o tempo entre publicação e varredura oportunista. Times de detecção também devem ligar regras para o pattern de payload típico de exploração de CWE-284 no endpoint HTTP do UniFi Connect e revisar telemetria de saída dos dispositivos, já que a exfiltração após execução de comando costuma passar por túneis DNS mal filtrados em segmentos de facilities.
O caso volta a expor uma escolha que CISOs vêm adiando: quando o mesmo fornecedor entrega switch, câmera e controle de acesso, uma falha crítica passa a valer por três domínios ao mesmo tempo. A convergência de infraestrutura simplifica compra e complica resposta.