Een kritieke kwetsbaarheid in VoIP-telefoons van fabrikant Grandstream maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om als root code op kwetsbare toestellen uit te voeren. Vervolgens kan de aanvaller een malafide SIP-proxy instellen om zo nagenoeg onzichtbaar telefoongesprekken af te luisteren, zo stelt securitybedrijf Rapid7 in een analyse. Grandstream heeft firmware-updates uitgebracht om het probleem te verhelpen.

De kwetsbaarheid (CVE-2026-2329) betreft een API endpoint van de VoIP-telefoon dat zonder authenticatie voor remote aanvallers toegankelijk is. Het endpoint, dat standaard draait en remote toegankelijk is, is ontwikkeld om configuratiewaardes van de telefoon op te vragen. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd request naar de telefoon te sturen, wat leidt tot een stack buffer overflow.

Via de buffer overflow kan een aanvaller willekeurige code als root uitvoeren. Daarnaast is het ook mogelijk om via de kwetsbaarheid secrets van de telefoon te stelen, zoals inloggegevens van lokale en SIP-accounts. Tevens kan een aanvaller bij de telefoon een malafide SIP-proxy instellen en zo gesprekken afluisteren. Volgens de onderzoekers is het probleem om gesprekken via een proxy te onderscheppen niet een specifiek probleem voor Grandstream VoIP-telefoons, maar laat het de gevolgen zien waar remote code execution bij VoIP-telefoons toe kan leiden.

Rapid7 deelde details van de kwetsbaarheid op 22 januari met Grandstream. De fabrikant kwam vervolgens op 2 februari met firmware-updates voor de Grandstream GXP1610, GXP1615, GXP1620, GXP1625, GXP1628, en GXP1630 modellen. Vandaag zijn details van het probleem openbaar gemaakt, alsmede proof-of-concept exploitcode. De impact van CVE-2026-2329 is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.