Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Grandstream›Операционная системаnvd

Ht801 Firmware

Уязвимости

6

Эксплуатируемые

0

Макс. CVSS

8.8

Макс. EPSS

0.07294

Распределение по критичности

Критический

0

Высокий

6

Средний

0

Низкий

0

Затронутые диапазоны версий

< 1.0.29< 1.0.29.8≤ 1.0.17.5

Также сопоставлено как (исходные строки): ht801_firmware

Топ уязвимостей

CVE-2021-37915Проблема была обнаружена в Grandstream HT801 Analog Telephone Adaptor до версии 1.0.29.8. Из ограниченной конфигурационной оболочки можно установить вредоносную переменную gdb_debug_server. В результате после перезагрузки устройство загружает и выполняет вредоносные скрипты с хоста, определенного злоумышленником.

CVE-2021-37748Множественные переполнения буфера в ограниченной конфигурационной оболочке (/sbin/gs_config) на устройствах Grandstream HT801 до версии 1.0.29 позволяют удаленным аутентифицированным пользователям выполнять произвольный код от имени root через специально созданную настройку manage_if, тем самым обходя предполагаемые ограничения этой оболочки и получая полный контроль над устройством. Существуют слабые учетные данные по умолчанию, которые можно использовать для аутентификации.

CVE-2020-5763Встроенное ПО серии Grandstream HT800 версии 1.0.17.5 и ниже содержит бэкдор в службе SSH. Прошедший проверку подлинности удаленный злоумышленник может получить root-оболочку, правильно ответив на запрос challenge.

CVE-2020-5760Встроенное ПО серии Grandstream HT800 версии 1.0.17.5 и ниже уязвимо для уязвимости внедрения команд ОС. Не прошедшие проверку подлинности удаленные злоумышленники могут выполнять произвольные команды от имени root, создав специальный файл конфигурации и отправив специально созданное SIP-сообщение.

CVE-2020-5762Встроенное ПО серии Grandstream HT800 версии 1.0.17.5 и ниже уязвимо для атаки типа "отказ в обслуживании" на службу TR-069. Не прошедший проверку подлинности удаленный злоумышленник может остановить службу из-за разыменования нулевого указателя в службе TR-069. Это условие возникает из-за неправильной обработки поля HTTP Authentication.

CVE-2020-5761Встроенное ПО серии Grandstream HT800 версии 1.0.17.5 и ниже уязвимо для исчерпания ресурсов ЦП из-за бесконечного цикла в службе TR-069. Не прошедшие проверку подлинности удаленные злоумышленники могут вызвать этот случай, отправив односимвольное TCP-сообщение в службу TR-069.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →