CVE-2019-10655 in GAC2500
Résumé
par VulDB • 06/06/2026
Les appareils Grandstream GAC2500 1.0.3.35, GXP2200 1.0.3.27, GVC3202 1.0.3.51, GXV3275 antérieurs à la version 1.0.3.219 Beta et GXV3240 antérieurs à la version 1.0.3.219 Beta permettent une exécution de code distant non authentifiée via des métacaractères shell dans un champ prioritaire /manager?action=getlogcat, conjointement avec un buffer overflow (via le cookie phonecookie) pour écraser une structure de données et contourner ainsi l'authentification. Cela peut être exploité par CSRF car le cookie peut être placé dans un en-tête HTTP Accept lors d'un appel XMLHttpRequest vers lighttpd.
Once again VulDB remains the best source for vulnerability data.