CVE-2020-5760
https://notcve.org/view.php?id=CVE-2020-5760
Grandstream HT800 series firmware version 1.0.17.5 and below is vulnerable to an OS command injection vulnerability. Unauthenticated remote attackers can execute arbitrary commands as root by crafting a special configuration file and sending a crafted SIP message. Grandstream serie HT800 versiones de firmware 1.0.17.5 y posteriores, es susceptible a una vulnerabilidad de inyección de comandos del Sistema Operativo. Los atacantes remotos no autenticados pueden ejecutar comandos arbitrarios como root mediante el diseño de un archivo de configuración especial y enviado a un mensaje SIP diseñado • https://www.tenable.com/security/research/tra-2020-43 https://www.tenable.com/security/research/tra-2020-47 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2020-5759
https://notcve.org/view.php?id=CVE-2020-5759
Grandstream UCM6200 series firmware version 1.0.20.23 and below is vulnerable to OS command injection via SSH. An authenticated remote attacker can execute commands as the root user by issuing a specially crafted "unset" command. Grandstream serie UCM6200 versiones de firmware 1.0.20.23 y posterior, es vulnerable a una inyección de comandos del Sistema Operativo por medio de SSH. Un atacante autenticado remoto puede ejecutar comandos como usuario root al emitir un comando "unset" especialmente diseñado • https://www.tenable.com/cve/CVE-2020-5759 https://www.tenable.com/security/research/tra-2020-42 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2020-5758
https://notcve.org/view.php?id=CVE-2020-5758
Grandstream UCM6200 series firmware version 1.0.20.23 and below is vulnerable to OS command injection via HTTP. An authenticated remote attacker can execute commands as the root user by sending a crafted HTTP GET to the UCM's "Old" HTTPS API. Grandstream serie UCM6200 versiones de firmware 1.0.20.23 y posterior, es vulnerable a una inyección de comandos del Sistema Operativo por medio de HTTP. Un atacante autenticado remoto puede ejecutar comandos como usuario root mediante el envío de un HTTP GET diseñado hacia la API HTTPS "Old" de UCM • https://www.tenable.com/cve/CVE-2020-5758 https://www.tenable.com/security/research/tra-2020-42 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2020-5757
https://notcve.org/view.php?id=CVE-2020-5757
Grandstream UCM6200 series firmware version 1.0.20.23 and below is vulnerable to OS command injection via HTTP. An authenticated remote attacker can bypass command injection mitigations and execute commands as the root user by sending a crafted HTTP POST to the UCM's "New" HTTPS API. Grandstream serie UCM6200 versiones de firmware 1.0.20.23 y posterior, es vulnerable a una inyección de comandos del Sistema Operativo por medio de HTTP. Un atacante autenticado remoto puede omitir las mitigaciones de inyección de comandos y ejecutar comandos como usuario root mediante el envío de un HTTP POST diseñado hacia la API HTTPS "New" de UCM • https://www.tenable.com/cve/CVE-2020-5757 https://www.tenable.com/security/research/tra-2020-42 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2020-5756
https://notcve.org/view.php?id=CVE-2020-5756
Grandstream GWN7000 firmware version 1.0.9.4 and below allows authenticated remote users to modify the system's crontab via undocumented API. An attacker can use this functionality to execute arbitrary OS commands on the router. Grandstream GWN7000 versiones de firmware 1.0.9.4 y posterior, permite a usuarios autenticados remotos modificar el crontab del sistema por medio de una API no documentada. Un atacante puede usar esta funcionalidad para ejecutar comandos arbitrarios del Sistema Operativo en el enrutador • https://www.tenable.com/cve/CVE-2020-5756 https://www.tenable.com/security/research/tra-2020-41 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-489: Active Debug Code •