CVE-2019-10655 in GAC2500
الملخص
بحسب VulDB • 26/06/2026
تسمح الأجهزة Grandstream GAC2500 الإصدار 1.0.3.35، وGXP2200 الإصدار 1.0.3.27، وGVC3202 الإصدار 1.0.3.51، وGXV3275 قبل الإصدار 1.0.3.219 Beta، وGXV3240 قبل الإصدار 1.0.3.219 Beta بتنفيذ الكود عن بُعد دون مصادقة (RCE) عبر استخدام أحرف خاصة بالأوامر النصية (shell metacharacters) في حقل الأولوية الخاص بـ /manager?action=getlogcat، بالاقتران مع تجاوز حد المخزن المؤقت (buffer overflow) (عبر ملف تعريف الارتباط phonecookie) لكتابة هيكل بيانات بشكل غير مصرح به، مما يؤدي بالتالي إلى التهرب من المصادقة. يمكن استغلال هذا الثغرة عبر هجمات تزوير الطلبات بين المواقع (CSRF)، نظرًا لأنه يمكن إدراج ملف تعريف الارتباط في رأس HTTP Accept ضمن استدعاء XMLHttpRequest موجه إلى lighttpd.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.