CRITICAL✓ PATCH🇬🇧 English

CVE-2015-9266

CVSS 9.8v3.0pub. 2018-09-05upd. 2024-11-21

The web management interface of Ubiquiti airMAX, airFiber, airGateway and EdgeSwitch XP (formerly TOUGHSwitch) allows an unauthenticated attacker to upload and write arbitrary files using directory traversal techniques. An attacker can exploit this vulnerability to gain root privileges. This vulnerability is fixed in the following product versions (fixes released in July 2015, all prior versions are affected): airMAX AC 7.1.3; airMAX M (and airRouter) 5.6.2 XM/XW/TI, 5.5.11 XM/TI, and 5.5.10u2 XW; airGateway 1.1.5; airFiber AF24/AF24HD 2.2.1, AF5x 3.0.2.1, and AF5 2.2.1; airOS 4 XS2/XS5 4.0.4; and EdgeSwitch XP (formerly TOUGHSwitch) 1.3.2.

oryginał EN
CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ubnt Airos 4 Xs2

    OS
    Ubnt
    < 4.0.4
  • Ubnt Airos 4 Xs5

    OS
    Ubnt
    < 4.0.4
  • Ubnt Edgeswitch Xp Firmware

    OS
    Ubnt
    < 1.3.2
  • Ui Af5

    HW
    Ui
    wszystkie wersje
  • Ui Af5 Firmware

    OS
    Ui
    < 2.2.1
  • Ui Af5x

    HW
    Ui
    wszystkie wersje
  • Ui Af5x Firmware

    OS
    Ui
    < 3.0.2.1
  • Ui Airfiber Af24

    HW
    Ui
    wszystkie wersje
  • Ui Airfiber Af24 Firmware

    OS
    Ui
    < 2.2.1
  • Ui Airfiber Af24hd

    HW
    Ui
    wszystkie wersje
  • Ui Airfiber Af24hd Firmware

    OS
    Ui
    < 2.2.1
  • Ui Airgateway

    HW
    Ui
    wszystkie wersje
  • Ui Airgateway Firmware

    OS
    Ui
    < 1.15
  • Ui Airmax Ac

    HW
    Ui
    wszystkie wersje
  • Ui Airmax Ac Firmware

    OS
    Ui
    7.1.3
  • Ui Airmax M

    HW
    Ui
    wszystkie wersje
  • Ui Airmax M Ti

    HW
    Ui
    wszystkie wersje
  • Ui Airmax M Ti Firmware

    OS
    Ui
    < 5.6.2
  • Ui Airmax M Xm

    HW
    Ui
    wszystkie wersje
  • Ui Airmax M Xm Firmware

    OS
    Ui
    < 5.6.2
  • Ui Airmax M Xw

    HW
    Ui
    wszystkie wersje
  • Ui Airmax M Xw Firmware

    OS
    Ui
    < 5.6.2
  • Ui Edgeswitch Xp

    HW
    Ui
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Path TraversalAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2017-0938HIGH7.5ten sam produkt

Denial of Service attack in airMAX < 8.3.2 , airMAX < 6.0.7 and EdgeMAX < 1.9.7 allow attackers to use the Dis...

CVE-2026-21639MEDIUM5.4ten sam produkt

A malicious actor in Wi-Fi range of the affected product could leverage a vulnerability in the airMAX Wireless...

CVE-2022-44565MEDIUM5.3ten sam produkt

An improper access validation vulnerability exists in airMAX AC <8.7.11, airFiber 60/LR <2.6.2, airFiber 60 XG...

CVE-2026-34908CRITICAL10.0⚠ KEVPL ✓ten sam vendor

Nieprawidłowa kontrola dostępu w UniFi OS — nieautoryzowane zmiany systemowe

CVE-2026-34909CRITICAL10.0⚠ KEVPL ✓ten sam vendor

Path Traversal w UniFi OS — dostęp do plików systemowych i przejęcie konta