CVE-2019-10658
https://notcve.org/view.php?id=CVE-2019-10658
Grandstream GWN7610 before 1.0.8.18 devices allow remote authenticated users to execute arbitrary code via shell metacharacters in the filename in a /ubus/controller.icc.update_nds_webroot_from_tmp update_nds_webroot_from_tmp API call. Los dispositivos Grandstream GWN7610, en versiones anteriores a la 1.0.8.18, permiten a los usuarios remotos ejecutar código arbitrario mediante metacaracteres shell en el nombre de archivo en una llamada API en /ubus/controller.icc.update_nds_webroot_from_tmp update_nds_webroot_from_tmp. • https://github.com/scarvell/grandstream_exploits https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=23920&dl=1 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2019-10657
https://notcve.org/view.php?id=CVE-2019-10657
Grandstream GWN7000 before 1.0.6.32 and GWN7610 before 1.0.8.18 devices allow remote authenticated users to discover passwords via a /ubus/uci.apply config request. Los dispositivos Grandstream GWN7000, en versiones anteriores a la 1.0.6.32, y Grandstream GWN7610, en versiones anteriores a la 1.0.8.18, permite a los usuarios remotos autenticados descubrir contraseñas mediante una petición de configuración en /ubus/uci.apply. • https://github.com/scarvell/grandstream_exploits https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=23920&dl=1 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •