CVE-2019-10655 in GAC2500المعلومات

الملخص

بحسب VulDB • 26/06/2026

تسمح الأجهزة Grandstream GAC2500 الإصدار 1.0.3.35، وGXP2200 الإصدار 1.0.3.27، وGVC3202 الإصدار 1.0.3.51، وGXV3275 قبل الإصدار 1.0.3.219 Beta، وGXV3240 قبل الإصدار 1.0.3.219 Beta بتنفيذ الكود عن بُعد دون مصادقة (RCE) عبر استخدام أحرف خاصة بالأوامر النصية (shell metacharacters) في حقل الأولوية الخاص بـ /manager?action=getlogcat، بالاقتران مع تجاوز حد المخزن المؤقت (buffer overflow) (عبر ملف تعريف الارتباط phonecookie) لكتابة هيكل بيانات بشكل غير مصرح به، مما يؤدي بالتالي إلى التهرب من المصادقة. يمكن استغلال هذا الثغرة عبر هجمات تزوير الطلبات بين المواقع (CSRF)، نظرًا لأنه يمكن إدراج ملف تعريف الارتباط في رأس HTTP Accept ضمن استدعاء XMLHttpRequest موجه إلى lighttpd.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

حجز

30/03/2019

الاعتدال

تمت الموافقة

إدخال

VDB-132635

استغلال

تحميل

EPSS

0.15353

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!