PT-2020-18648 · Grandstream · Grandstream Ucm6200 Series
Publicado
2020-03-30
·
Atualizado
2020-03-31
·
CVE-2020-5725
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da série Grandstream UCM6200 anteriores à 1.0.20.22
Descrição
A vulnerabilidade permite que um invasor remoto não autenticado execute uma injeção de SQL por meio do endpoint “websockify” do servidor HTTP. Ao invocar a ação de login com um
username malicioso, um invasor pode usar ataques de temporização para descobrir senhas de usuários.Recomendações
Para as versões da série Grandstream UCM6200 anteriores à 1.0.20.22, atualize para a versão 1.0.20.22 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint websockify para minimizar o risco de exploração. Evite usar nomes de usuário criados de forma maliciosa na ação de login até que o problema seja resolvido.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Grandstream Ucm6200 Series