CVE-2019-10655 in GAC2500
Riassunto
di VulDB • 26/06/2026
I dispositivi Grandstream GAC2500 1.0.3.35, GXP2200 1.0.3.27, GVC3202 1.0.3.51, GXV3275 precedenti alla versione 1.0.3.219 Beta e GXV3240 precedenti alla versione 1.0.3.219 Beta consentono l'esecuzione di codice remoto non autenticata tramite metacaratteri shell in un campo priority dell'endpoint /manager?action=getlogcat, in combinazione con un buffer overflow (tramite il cookie phonecookie) per sovrascrivere una struttura dati e conseguire eludere l'autenticazione. Questo può essere sfruttato tramite CSRF poiché il cookie può essere inserito nell'intestazione HTTP Accept in una chiamata XMLHttpRequest a lighttpd.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.