CVE-2020-5722
CVE-2020-5722
Em resumo
O sistema de telefonia Grandstream UCM6200 possui uma falha de injeção SQL desprotegida que permite a atacantes enviar requisições especialmente preparadas e executar comandos com privilégios totais do sistema, ou injetar conteúdo malicioso em emails de recuperação de senha.
Detalhe técnico
Injeção SQL remota não autenticada através da interface HTTP permite execução arbitrária de comandos como root (CWE-89). O vetor de ataque requer requisições HTTP manipuladas; nenhuma autenticação é necessária. O impacto inclui comprometimento completo do sistema em versões afetadas (< 1.0.19.20) ou manipulação de conteúdo de emails (< 1.0.20.17).
Resumo gerado e traduzido por IA a partir da descrição oficial.
The HTTP interface of the Grandstream UCM6200 series is vulnerable to an unauthenticated remote SQL injection via crafted HTTP request. An attacker can use this vulnerability to execute shell commands as root on versions before 1.0.19.20 or inject HTML in password recovery emails in versions before 1.0.20.17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Grandstream UCM6200 SeriesPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/156876/UCM6202-1.0.18.13-Remote-Command-Injection.htmlnão verificadocve_referencepacketstormsecurity.com/files/165708/Grandstream-UCM62xx-IP-PBX-sendPasswordEmail-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/48247não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/156876/UCM6202-1.0.18.13-Remote-Command-Injection.htmlhttp://packetstormsecurity.com/files/165708/Grandstream-UCM62xx-IP-PBX-sendPasswordEmail-Remote-Code-Execution.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-5722https://www.tenable.com/security/research/tra-2020-15