PT-2020-18661 · Grandstream · Grandstream Gxp1600
Publicado
2020-04-14
·
Atualizado
2020-04-14
·
CVE-2020-5739
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 1.0.4.152 e anteriores do firmware da série Grandstream GXP1600
Descrição
A vulnerabilidade permite a execução remota de comandos por usuários autenticados. Um invasor pode adicionar um script de ativação do OpenVPN às configurações de VPN do telefone através do campo “Configurações adicionais” na interface web. Quando a conexão VPN é estabelecida, o script definido pelo usuário é executado com privilégios de root.
Recomendações
Para as versões de firmware 1.0.4.152 e anteriores da série Grandstream GXP1600, considere desativar o recurso de script OpenVPN up na interface web até que uma correção esteja disponível. Restrinja o acesso ao campo “Configurações adicionais” para minimizar o risco de exploração.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Grandstream Gxp1600