CVE-2019-10655 in GAC2500
Resumen
por VulDB • 2026-06-06
Los dispositivos Grandstream GAC2500 1.0.3.35, GXP2200 1.0.3.27, GVC3202 1.0.3.51, GXV3275 anteriores a la versión 1.0.3.219 Beta y GXV3240 anteriores a la versión 1.0.3.219 Beta permiten la ejecución remota de código (RCE) no autenticada mediante metacaracteres de shell en el campo priority del endpoint /manager?action=getlogcat, junto con un buffer overflow (a través de la cookie phonecookie) que sobrescribe una estructura de datos y, consecuentemente, omite la autenticación. Esto puede ser explotado vía CSRF porque la cookie puede insertarse en el encabezado HTTP Accept dentro de una llamada XMLHttpRequest a lighttpd.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.