知名网络设备供应商 Ubiquiti 发布了一份关于其 UniFi Protect 系列摄像头中发现的多个漏洞的重要安全公告。这些漏洞由参与零日计划（Zero Day Initiative）旗下 Pwn2Own 竞赛的多位安全研究人员发现，涵盖从远程代码执行到身份验证绕过等问题，可能导致用户系统暴露在攻击者面前。

其中最严重的漏洞之一是被标识为 CVE – 2025 – 23115 的远程代码执行（RCE）漏洞。此漏洞的 CVSS v3.0 基础评分高达 9.0（严重级别），可能使能够访问摄像头管理网络的恶意行为者完全控制设备。

另一个严重缺陷是被追踪为 CVE – 2025 – 23116 的漏洞，当 “自动采用桥接设备” 功能启用时，会导致身份验证绕过。此漏洞的 CVSS v3.0 基础评分是 9.6（严重级别），可能使摄像头相邻网络上的攻击者控制设备。

Ubiquiti 还处理了三个中级评级的漏洞：

1.CVE – 2025 – 23117：固件更新验证不足，允许对摄像头系统进行未经授权的更改。

2.CVE – 2025 – 23118：证书验证不当，使得可以对摄像头系统进行未经授权的修改。

3.CVE – 2025 – 23119：转义序列中和不当，可能导致身份验证绕过和远程代码执行。

Ubiquiti 敦促用户将其 UniFi Protect 摄像头更新到 4.74.106 或更高版本，将 UniFi Protect 应用程序更新到 5.2.49 或更高版本，以缓解这些漏洞。

随着联网设备日益普及，用户和组织务必保持警惕，并采取必要措施保护其系统免受潜在威胁。