知名网络设备供应商Ubiquiti发布安全公告，指出其UniFi Protect系列摄像头存在多个严重漏洞，包括远程代码执行和身份验证绕过等。这些漏洞由安全研究人员在Pwn2Own竞赛中发现，可能导致用户系统完全暴露于攻击者之下。其中，远程代码执行漏洞CVE-2025-23115的CVSS评分高达9.0，身份验证绕过漏洞CVE-2025-23116的评分更是达到9.6。此外，还存在固件更新验证不足、证书验证不当以及转义序列中和不当等中级漏洞。Ubiquiti强烈建议用户立即更新摄像头和应用程序至最新版本，以防止潜在的安全威胁。

🚨 **严重漏洞警报**：Ubiquiti UniFi Protect摄像头存在远程代码执行（CVE-2025-23115）和身份验证绕过（CVE-2025-23116）等高危漏洞，攻击者可能完全控制设备。

🛡️ **安全风险详解**：自动采用桥接设备功能启用时，身份验证绕过漏洞（CVE-2025-23116）允许相邻网络上的攻击者控制设备；固件更新和证书验证不足（CVE-2025-23117和CVE-2025-23118）则可能导致未经授权的系统修改。

🔑 **修复方案**：Ubiquiti建议用户立即将UniFi Protect摄像头更新至4.74.106或更高版本，UniFi Protect应用程序更新至5.2.49或更高版本，以缓解这些漏洞带来的风险。

🌐 **漏洞发现来源**：这些漏洞由参与零日计划（Zero Day Initiative）旗下Pwn2Own 竞赛的多位安全研究人员发现。

知名网络设备供应商 Ubiquiti 发布了一份关于其 UniFi Protect 系列摄像头中发现的多个漏洞的重要安全公告。这些漏洞由参与零日计划（Zero Day Initiative）旗下 Pwn2Own 竞赛的多位安全研究人员发现，涵盖从远程代码执行到身份验证绕过等问题，可能导致用户系统暴露在攻击者面前。其中最严重的漏洞之一是被标识为 CVE – 2025 – 23115 的远程代码执行（RCE）漏洞。此漏洞的 CVSS v3.0 基础评分高达 9.0（严重级别），可能使能够访问摄像头管理网络的恶意行为者完全控制设备。另一个严重缺陷是被追踪为 CVE – 2025 – 23116 的漏洞，当 “自动采用桥接设备” 功能启用时，会导致身份验证绕过。此漏洞的 CVSS v3.0 基础评分是 9.6（严重级别），可能使摄像头相邻网络上的攻击者控制设备。Ubiquiti 还处理了三个中级评级的漏洞：1.CVE – 2025 – 23117：固件更新验证不足，允许对摄像头系统进行未经授权的更改。2.CVE – 2025 – 23118：证书验证不当，使得可以对摄像头系统进行未经授权的修改。3.CVE – 2025 – 23119：转义序列中和不当，可能导致身份验证绕过和远程代码执行。Ubiquiti 敦促用户将其 UniFi Protect 摄像头更新到 4.74.106 或更高版本，将 UniFi Protect 应用程序更新到 5.2.49 或更高版本，以缓解这些漏洞。随着联网设备日益普及，用户和组织务必保持警惕，并采取必要措施保护其系统免受潜在威胁。