知名网络设备供应商 Ubiquiti 发布了一份关于其 UniFi Protect 系列摄像头中发现的多个漏洞的重要安全公告。这些漏洞由参与零日计划(Zero Day Initiative)旗下 Pwn2Own 竞赛的多位安全研究人员发现,涵盖从远程代码执行到身份验证绕过等问题,可能导致用户系统暴露在攻击者面前。
其中最严重的漏洞之一是被标识为 CVE – 2025 – 23115 的远程代码执行(RCE)漏洞。此漏洞的 CVSS v3.0 基础评分高达 9.0(严重级别),可能使能够访问摄像头管理网络的恶意行为者完全控制设备。
另一个严重缺陷是被追踪为 CVE – 2025 – 23116 的漏洞,当 “自动采用桥接设备” 功能启用时,会导致身份验证绕过。此漏洞的 CVSS v3.0 基础评分是 9.6(严重级别),可能使摄像头相邻网络上的攻击者控制设备。
Ubiquiti 还处理了三个中级评级的漏洞:
1.CVE – 2025 – 23117:固件更新验证不足,允许对摄像头系统进行未经授权的更改。
2.CVE – 2025 – 23118:证书验证不当,使得可以对摄像头系统进行未经授权的修改。
3.CVE – 2025 – 23119:转义序列中和不当,可能导致身份验证绕过和远程代码执行。
Ubiquiti 敦促用户将其 UniFi Protect 摄像头更新到 4.74.106 或更高版本,将 UniFi Protect 应用程序更新到 5.2.49 或更高版本,以缓解这些漏洞。
随着联网设备日益普及,用户和组织务必保持警惕,并采取必要措施保护其系统免受潜在威胁。
发表评论
您还未登录,请先登录。
登录