Investigadores de ciberseguridad han revelado una falla de seguridad crítica en la serie de teléfonos VoIP Grandstream GXP1600 que podría permitir a un atacante tomar el control de dispositivos susceptibles.
La vulnerabilidad, rastreada como CVE-2026-2329tiene una puntuación CVSS de 9,3 sobre un máximo de 10,0. Se ha descrito como un caso de desbordamiento de búfer basado en pila no autenticado que podría resultar en la ejecución remota de código.
«Un atacante remoto puede aprovechar CVE-2026-2329 para lograr la ejecución remota de código (RCE) no autenticado con privilegios de root en un dispositivo de destino», dijo el investigador de Rapid7 Stephen Fewer, quien descubrió e informó el error el 6 de enero de 2026.
Según la empresa de ciberseguridad, el problema tiene su origen en el servicio API basado en web del dispositivo («/cgi-bin/api.values.get») y se puede acceder a él en una configuración predeterminada sin necesidad de autenticación.
Este punto final está diseñado para recuperar uno o más valores de configuración del teléfono, como el número de versión del firmware o el modelo, a través de una cadena delimitada por dos puntos en el parámetro «solicitud» (por ejemplo, «request=68:phone_model»), que luego se analiza para extraer cada identificador y agregarlo a un búfer de 64 bytes en la pila.
«Cuando se agrega otro carácter al pequeño búfer de 64 bytes, no se realiza ninguna verificación de longitud para garantizar que no se escriban más de 63 caracteres (más el terminador nulo agregado) en este búfer», explicó Fewer. «Por lo tanto, un parámetro de ‘solicitud’ controlado por un atacante puede escribir más allá de los límites del pequeño búfer de 64 bytes en la pila, desbordándose hacia la memoria de la pila adyacente».
Esto significa que un parámetro de «solicitud» malicioso delimitado por dos puntos enviado como parte de una solicitud HTTP al punto final «/cgi-bin/api.values.get» se puede utilizar para desencadenar un desbordamiento del búfer basado en la pila, lo que permite a los actores de amenazas corromper el contenido de la pila y, en última instancia, lograr la ejecución remota de código en el sistema operativo subyacente.
La vulnerabilidad afecta a los modelos GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 y GXP1630. Se solucionó como parte de una actualización de firmware (versión 1.0.7.81) lanzada a fines del mes pasado.
En un módulo de explotación Metasploit desarrollado por Rapid7, se demostró que la vulnerabilidad podría explotarse para obtener privilegios de root en un dispositivo vulnerable y encadenarlo con un componente posterior a la explotación para extraer las credenciales almacenadas en un dispositivo comprometido.
Además, las capacidades de ejecución remota de código se pueden utilizar como arma para reconfigurar el dispositivo objetivo para que utilice un proxy de Protocolo de inicio de sesión (SIP) malicioso, lo que permite al atacante interceptar llamadas telefónicas hacia y desde el dispositivo y escuchar a escondidas conversaciones VoIP. Un proxy SIP es un servidor intermediario en redes VoIP para establecer y gestionar llamadas de voz/vídeo entre puntos finales.
«Esto no es un exploit de un solo clic con fuegos artificiales y un cartel de victoria», dijo Douglas McKee de Rapid7. «Pero la vulnerabilidad subyacente reduce la barrera de una manera que debería preocupar a cualquiera que opere estos dispositivos en entornos expuestos o ligeramente segmentados».