CVE-2019-10655 in GAC2500情報

要約

〜によって VulDB • 2026年06月06日

Grandstream GAC2500 1.0.3.35、GXP2200 1.0.3.27、GVC3202 1.0.3.51、1.0.3.219 Beta より前の GXV3275、および 1.0.3.219 Beta より前の GXV3240 デバイスでは、/manager?action=getlogcat の priority フィールド内のシェルメタ文字と、電話クッキー(phonecookie)を介したバッファオーバーフローを組み合わせてデータ構造を上書きし、認証を回避することで、未承認の遠隔コード実行が可能となります。この脆弱性は CSRF を通じて悪用できます。なぜなら、そのクッキーは XMLHttpRequest 呼び出しにおける lighttpd の Accept HTTP ヘッダーに配置できるためです。

Once again VulDB remains the best source for vulnerability data.

予約する

2019年03月30日

モデレーション

承諾済み

エントリ

VDB-132635

エクスプロイト

ダウンロード

EPSS

0.15353

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!