Investigadores de ciberseguridad han revelado una rotura de seguridad crítica en la serie de teléfonos VoIP Grandstream GXP1600 que podría permitir a un atacante tomar el control de dispositivos susceptibles.
La vulnerabilidad, rastreada como CVE-2026-2329tiene una puntuación CVSS de 9,3 sobre un mayor de 10,0. Se ha descrito como un caso de desbordamiento de búfer basado en pila no autenticado que podría resultar en la ejecución remota de código.
“Un atacante remoto puede emplear CVE-2026-2329 para obtener la ejecución remota de código (RCE) no autenticado con privilegios de root en un dispositivo de destino”, dijo el investigador de Rapid7 Stephen Fewer, quien descubrió e informó el error el 6 de enero de 2026.
Según la empresa de ciberseguridad, el problema tiene su origen en el servicio API basado en web del dispositivo (“/cgi-bin/api.values.get”) y se puede penetrar a él en una configuración predeterminada sin exigencia de autenticación.
Este punto final está diseñado para recuperar uno o más títulos de configuración del teléfono, como el número de traducción del firmware o el maniquí, a través de una dependencia delimitada por dos puntos en el parámetro “solicitud” (por ejemplo, “request=68:phone_model”), que luego se analiza para extraer cada identificador y agregarlo a un búfer de 64 bytes en la pila.
“Cuando se agrega otro carácter al pequeño búfer de 64 bytes, no se realiza ninguna comprobación de distancia para asegurar que no se escriban más de 63 caracteres (más el terminador inútil anexo) en este búfer”, explicó Fewer. “Por lo tanto, un parámetro de ‘solicitud’ controlado por un atacante puede escribir más allá de los límites del pequeño búfer de 64 bytes en la pila, desbordándose cerca de la memoria de la pila adyacente”.
Esto significa que un parámetro de “solicitud” astuto delimitado por dos puntos enviado como parte de una solicitud HTTP al punto final “/cgi-bin/api.values.get” se puede utilizar para desencadenar un desbordamiento del búfer basado en la pila, lo que permite a los actores de amenazas corromper el contenido de la pila y, en última instancia, obtener la ejecución remota de código en el sistema activo subyacente.
La vulnerabilidad afecta a los modelos GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 y GXP1630. Se solucionó como parte de una aggiornamento de firmware (traducción 1.0.7.81) rejonazo a fines del mes pasado.
En un módulo de explotación Metasploit desarrollado por Rapid7, se demostró que la vulnerabilidad podría explotarse para obtener privilegios de root en un dispositivo inerme y encadenarlo con un componente posterior a la explotación para extraer las credenciales almacenadas en un dispositivo comprometido.
Por otra parte, las capacidades de ejecución remota de código se pueden utilizar como arsenal para reconfigurar el dispositivo objetivo para que utilice un proxy de Protocolo de inicio de sesión (SIP) astuto, lo que permite al atacante interceptar llamadas telefónicas cerca de y desde el dispositivo y escuchar a escondidas conversaciones VoIP. Un proxy SIP es un servidor intermediario en redes VoIP para establecer y administrar llamadas de voz/vídeo entre puntos finales.
“Esto no es un exploit de un solo clic con fuegos artificiales y un cartel de vencimiento”, dijo Douglas McKee de Rapid7. “Pero la vulnerabilidad subyacente reduce la barrera de una guisa que debería preocupar a cualquiera que opere estos dispositivos en entornos expuestos o sutilmente segmentados”.
