PT-2020-6384 · Grandstream · Grandstream Ucm6200 Series
Jacob Baines
·
Publicado
2020-03-23
·
Atualizado
2025-10-31
·
CVE-2020-5722
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões da série Grandstream UCM6200 anteriores à 1.0.19.20
Versões da série Grandstream UCM6200 anteriores à 1.0.20.17
Descrição
A interface HTTP da série Grandstream UCM6200 está vulnerável a uma injeção SQL remota não autenticada por meio de uma solicitação HTTP maliciosa. Esse problema está relacionado a erros na validação dos dados de entrada. Um invasor pode explorar essa vulnerabilidade para executar comandos shell como root ou injetar HTML em e-mails de recuperação de senha.
Recomendações
Para versões anteriores à 1.0.19.20, atualize para a versão 1.0.19.20 ou posterior para resolver o problema.
Para versões anteriores à 1.0.20.17, atualize para a versão 1.0.20.17 ou posterior para impedir a injeção de HTML em e-mails de recuperação de senha.
Como solução alternativa temporária, considere restringir o acesso à interface HTTP até que um patch seja aplicado.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Grandstream Ucm6200 Series