Cuando 10 de 10 es mala noticia: Ubiquiti bate récords por la gravedad de las vulnerabilidades encontradas
Explicamos el fallo que puso en riesgo a millones de dispositivos.
Ubiquiti publicó una actualización urgente para corregir dos vulnerabilidades en UniFi Network Application — una solución popular para gestionar equipos de red.
El problema principal recibió el identificador CVE-2026-22557 y la puntuación máxima en CVSS, 10 de 10. El fallo está relacionado con el manejo incorrecto de rutas — con acceso a la red, un atacante puede leer archivos en el sistema y usarlos para obtener control de una cuenta.
Están en riesgo todas las versiones de UniFi Network Application publicadas antes del 18 de marzo de 2026. El mayor riesgo afecta a las instalaciones accesibles desde internet. El desarrollador recomienda a los administradores actualizar lo antes posible tanto las versiones estables como las compilaciones de prueba de la aplicación, y también instalar el firmware actualizado de UniFi Express, que ya incluye la versión del software corregida.
La segunda vulnerabilidad, identificada como CVE-2026-22558 recibió una puntuación de 7,7 y está relacionada con una inyección NoSQL. Su explotación requiere autenticación; sin embargo, una vez autenticado, el atacante puede elevar privilegios y ampliar el control sobre el sistema.
UniFi Network Application es ampliamente utilizado tanto por entusiastas de laboratorios domésticos como por usuarios avanzados. La aplicación se puede desplegar en Linux, Windows, macOS o en un contenedor Docker, lo que aumenta la diversidad de entornos potencialmente vulnerables.
Para reducir riesgos ante retrasos en la instalación de actualizaciones, Ubiquiti recomienda migrar a UniFi OS Server para instalaciones autogestionadas. La plataforma reúne todo el conjunto de herramientas UniFi y facilita la obtención de actualizaciones al día.
En el aviso no se indica si la empresa ha registrado ataques reales que exploten estas vulnerabilidades. Se consideran vulnerables las versiones de UniFi Network Application anteriores a la 10.1.85 en la rama estable, anteriores a la 10.2.93 entre las compilaciones de prueba y anteriores a la 9.0.114 en dispositivos UniFi Express.