Pesquisadores de cibersegurança identificaram uma falha crítica nos aparelhos VoIP da série Grandstream GXP1600 que pode permitir a um atacante assumir o controle dos dispositivos vulneráveis.
Classificada como
CVE-2026-2329
, a vulnerabilidade recebeu nota 9,3 na escala CVSS, que vai até 10,0.
Trata-se de um buffer overflow baseado em stack, sem necessidade de autenticação, que possibilita a execução remota de código (RCE – Remote Code Execution).
“O invasor remoto pode explorar a
CVE-2026-2329
para executar código malicioso como root, sem autenticação, no dispositivo alvo”, explica Stephen Fewer, pesquisador da Rapid7 que descobriu e reportou o problema em 6 de janeiro de 2026.
Segundo a empresa de segurança, a falha está localizada no serviço web API do aparelho (“/cgi-bin/api.values.get”), que, em sua configuração padrão, permite acesso sem exigir autenticação.
Esse endpoint é responsável por recuperar valores de configuração do telefone, como modelo e versão do firmware, por meio de uma string delimitada por dois pontos no parâmetro “request” (por exemplo, “request=68:phone_model”).
Essa string é então processada para extrair os identificadores e armazená-los em um buffer de 64 bytes no stack.
“Não há verificação de tamanho ao adicionar caracteres neste buffer de 64 bytes”, detalha Fewer.
“Portanto, o parâmetro ‘request’, controlado pelo atacante, pode ultrapassar o limite desse buffer, causando um estouro e sobrescrevendo áreas adjacentes na memória do stack.”
Na prática, uma requisição HTTP com parâmetro malicioso para o endpoint “/cgi-bin/api.values.get” pode desencadear esse buffer overflow, corrompendo a memória do dispositivo e permitindo que o atacante execute código arbitrário com privilégios elevados.
São afetados os modelos GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 e GXP1630.
A falha foi corrigida na atualização de firmware versão 1.0.7.81, lançada no final de maio.
Um módulo de exploit para Metasploit, desenvolvido pela Rapid7, já demonstra que a vulnerabilidade pode ser explorada para obter privilégios de root e, em seguida, usar ferramentas pós-exploração para extrair credenciais armazenadas no aparelho comprometido.
Além disso, o código malicioso pode alterar a configuração do dispositivo para usar um proxy SIP (Session Initiation Protocol) controlado pelo atacante.
Isso permite interceptar chamadas VoIP, possibilitando a escuta clandestina das conversas feitas e recebidas pelo telefone.
Em redes VoIP, o proxy SIP atua como intermediário para estabelecer e gerenciar as chamadas entre pontos finais.
“Não se trata de um exploit simples, com um clique que exibe uma mensagem de vitória”, comenta Douglas McKee, também da Rapid7.
“Mas essa vulnerabilidade reduz significativamente a barreira para ataques, algo preocupante para quem usa esses aparelhos em ambientes expostos ou com segmentação de rede insuficiente.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...