Ubiquitiは2026年7月2日、UniFi Connect、UniFi Talk、UniFi Access、UniFi Network、UniFi Protect、UniFi OSなどに関する「Security Advisory Bulletin 066」を公開しました。
中でも、UniFi Connectの脆弱性CVE-2026-50746はCVSS 10.0と評価されています。UniFi製品を利用している場合は、製品名と現在のバージョンを確認し、Ubiquiti公式のUpdate Managerやリリース情報から対応済みバージョンへ更新してください。
なお、CISAのKnown Exploited Vulnerabilities Catalogに登録されたCVE-2026-34908、CVE-2026-34909、CVE-2026-34910は、今回のCVE-2026-50746とは別の脆弱性です。
この記事では、攻撃手順や検証方法ではなく、UniFi利用者や管理者が確認したい製品、バージョン、更新前後のチェックポイントを整理します。
UniFiの脆弱性情報を見た時に最初に確認したいこと
UbiquitiやUniFiの脆弱性情報を見ても、すべてのUniFi製品が同じ脆弱性の影響を受けるわけではありません。まずは次の順で確認します。
- 利用しているUniFi製品とアプリケーション名
- UniFi Connect、Talk、Access、Network、Protectの現在のバージョン
- UniFi OSまたはUniFi OS Serverの現在のバージョン
- Ubiquiti公式で案内されている対応済みバージョン
- 自動更新またはUpdate Managerの状態
- 会社、店舗、施設、監視カメラ、入退室管理など業務利用の機器か
- 管理画面がインターネットから直接到達できる状態ではないか
UniFiは、ネットワーク管理だけでなく、監視カメラ、電話、入退室管理、ディスプレイ、照明など複数の用途で利用されます。製品名が似ていても、対象アプリケーションと修正版は異なるため、まとめて判断しないことが重要です。
Security Advisory Bulletin 066の主な更新先
UbiquitiのSecurity Advisory Bulletin 066では、複数のUniFiアプリケーションとUniFi OSに関する脆弱性が案内されています。主要な対応済みバージョンは次のとおりです。
| 製品・アプリケーション | 確認する更新先 | 主な確認事項 |
|---|---|---|
| UniFi Connect | 3.4.20以降 | CVE-2026-50746を含む更新 |
| UniFi Talk | 5.2.2以降 | 電話機能と通話設定の動作確認 |
| UniFi Access | 4.2.29以降 | ドア、ユーザー、入退室設定の確認 |
| UniFi Network | 10.4.57以降 | ネットワーク、VLAN、Wi-Fi設定の確認 |
| UniFi Protect | 7.1.83以降 | カメラ、録画、通知の確認 |
| UniFi Protect Floodlight | 1.13.6以降 | 照明、検知、Protect連携の確認 |
| UniFi OS | 5.1.19以降 | 対象機器ごとの公式リリースを確認 |
実際に適用できるバージョンは、利用している機器、UniFi OSコンソール、リリースチャネル、地域、段階配信の状態によって異なる場合があります。
表のバージョンだけを見て非公式ファイルを探すのではなく、UniFi Site Manager、機器の管理画面、Update Manager、Ubiquiti公式リリースページから更新状況を確認してください。
CVE-2026-50746で確認したいこと
CVE-2026-50746は、UniFi Connect Applicationの不適切なアクセス制御に関する脆弱性です。影響を受ける環境では、ネットワークへアクセスできる第三者によって、ホスト機器上でコマンドインジェクションにつながる可能性があります。
Ubiquitiの案内では、UniFi Connect 3.4.16以前が対象となり、3.4.20以降への更新が案内されています。
- UniFi Connectを導入しているか
- 現在のバージョンが3.4.16以前ではないか
- 3.4.20以降へ更新できるか
- Connectを管理しているUniFi OS側も更新済みか
- 管理ネットワークへ接続できる利用者や端末を把握しているか
- 不要な管理者アカウントや権限が残っていないか
CVSS 10.0という数字だけを見て、すべてのUbiquiti製品が直ちに侵害されると判断するのは適切ではありません。UniFi Connectを利用しているか、対象バージョンか、管理画面へ到達できる範囲はどこかを分けて確認してください。
CISA KEV登録済みの3件は別の脆弱性
CISAは2026年6月23日、Ubiquiti UniFi OSに関する次の3件をKnown Exploited Vulnerabilities Catalogへ追加しました。
- CVE-2026-34908:UniFi OSのアクセス制御に関する脆弱性
- CVE-2026-34909:UniFi OSのパストラバーサルに関する脆弱性
- CVE-2026-34910:UniFi OSの入力検証とコマンドインジェクションに関する脆弱性
これらはUbiquitiが2026年5月に公開した別のセキュリティアドバイザリに関連する脆弱性です。2026年7月公開のCVE-2026-50746がCISA KEVへ登録された、という意味ではありません。
以前に5月の脆弱性対応で更新した環境でも、Bulletin 066で案内された新しい対応バージョンへ更新できているかを改めて確認してください。
更新前にバックアップと業務影響を確認する
UniFi OSや各アプリケーションを更新する前に、設定のバックアップと停止時の影響を確認します。
- UniFi OSまたは各アプリケーションの設定バックアップがあるか
- バックアップから復元できる状態か
- 更新中にネットワークや関連サービスが停止する可能性がないか
- 店舗の決済端末や予約端末へ影響しないか
- 監視カメラや録画が一時停止しないか
- UniFi Accessの入退室管理へ影響しないか
- UniFi Talkの電話利用へ影響しないか
- 業務影響が少ない時間帯を確保できるか
会社、店舗、学校、施設、集合住宅などで利用している場合は、利用者が独断で更新や初期化を行わず、機器管理者、設置業者、保守会社、情報システム担当者へ確認してください。

更新後に確認したい動作
バージョン表示が新しくなっただけで完了とせず、利用している機能が正常に動くか確認します。
- UniFi OSと各アプリケーションのバージョン
- インターネット接続
- 有線LANとWi-Fi接続
- VLAN、ゲストネットワーク、VPN
- 監視カメラの映像、録画、通知
- 入退室管理とユーザー権限
- UniFi Talkの発着信
- UniFi Connectで管理している機器
- 管理画面へのログイン
- バックアップの再取得
問題が起きた場合に備えて、更新前後のバージョン、更新時刻、エラー表示、影響を受けた機能を記録しておくと、Ubiquitiサポートや設置業者へ相談しやすくなります。
管理画面と管理者アカウントを見直す
アップデートと合わせて、管理画面へ到達できる範囲と管理者アカウントも確認します。
- 管理画面をインターネットへ直接公開していないか
- 管理専用ネットワークや許可した端末からのみ操作できるか
- 不要な管理者アカウントが残っていないか
- 退職者、異動者、設置業者のアカウントが残っていないか
- 管理者権限を持つユーザーが多すぎないか
- 多要素認証を利用できるか
- 不審なログインや設定変更がないか
- バックアップ、リモートアクセス、共有設定が変更されていないか
不審なログインや設定変更が見つかった場合は、記録を消す前にログや時刻、変更内容を保存し、管理者やセキュリティ担当者へ確認してください。
やらない方がよいこと
- 出所不明のファームウェアや更新ファイルを利用する
- 非公式の診断ツールや修復ツールを実行する
- 脆弱性を再現するためのコードや入力値を試す
- 第三者のUniFi機器や管理画面へアクセスする
- 管理画面のURL、ユーザー名、パスワードを公開する
- バックアップを確認せずに初期化する
- 業務機器を利用者の判断だけで更新する
- Bulletin 066の全25件がCVSS 10.0だと判断する
- CVE-2026-50746がCISA KEV登録済みだと誤解する
脆弱性情報を見た時ほど、非公式ツールや攻撃手順を掲載するサイトへ誘導されないよう注意してください。更新はUbiquiti公式の管理画面、Update Manager、公式リリースページから確認します。
今回確認する公式情報
- Ubiquiti Security Advisory Bulletin 066
- CISA Adds Four Known Exploited Vulnerabilities to Catalog
- CISA Known Exploited Vulnerabilities Catalog
- CVE-2026-50746のCVEレコード
セキュリティアドバイザリは、対象製品や対応バージョンが後から更新される場合があります。この記事を読む時点でも、UbiquitiとCISAの最新情報を確認してください。
関連して確認したい記事
- NEC Atermに脆弱性情報が出た時の確認ポイント|対象機種とファームウェア更新の見方
- TP-Link Archer BE450 / BE7200に脆弱性情報が出た時の確認ポイント|対象ファームウェアと更新の見方
- スマホではつながるのにパソコンだけWi-Fiに接続できない時の確認ポイント
まとめ:製品名とバージョンを確認してから公式更新を適用する
Ubiquiti UniFiの脆弱性情報を見た時は、まず利用している製品とアプリケーションを特定し、現在のバージョンとUbiquiti公式の対応済みバージョンを比較します。
特にUniFi Connectを利用している場合は、CVE-2026-50746への対応として3.4.20以降になっているか確認してください。UniFi Talk、Access、Network、Protect、UniFi OSを利用している場合も、それぞれBulletin 066で案内された更新先を確認します。
CISA KEVに登録されたCVE-2026-34908、CVE-2026-34909、CVE-2026-34910は別の脆弱性です。今回のCVE-2026-50746と混同せず、過去の対応と今回の更新を分けて確認してください。