20/03/2026
ช่องโหว่ CVE-2026-2329 ที่ร้ายแรงในโทรศัพท์ Grandstream GXP1600 Series ช่วยให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลและเข้าถึงสิทธิ์ root ได้โดยไม่ต้องยืนยันตัวตน
ช่องโหว่นี้มีความร้ายแรงสูงมาก (CVSSv4 score 9.3) เนื่องจากช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ขโมยข้อมูลประจำตัว และดักฟังการโทรได้โดยไม่ต้องมีการรับรองความถูกต้อง ซึ่งเป็นภัยคุกคามที่สำคัญต่อระบบโทรศัพท์ VoIP ที่ใช้งานอยู่
Rapid7 Labs ได้ค้นพบช่องโหว่ร้ายแรง (CVE-2026-2329) ประเภท stack-based buffer overflow ที่ไม่ต้องมีการรับรองความถูกต้อง ในโทรศัพท์ VoIP รุ่น Grandstream GXP1600 Series ซึ่งรวมถึงรุ่น GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 และ GXP1630 ช่องโหว่นี้ช่วยให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดด้วยสิทธิ์ root ได้โดยไม่ต้องยืนยันตัวตน ซึ่งอาจนำไปสู่การขโมยข้อมูลประจำตัวและการดักฟังการโทรได้ Grandstream ได้ออกเฟิร์มแวร์เวอร์ชัน1.0.7.81 เพื่อแก้ไขปัญหานี้แล้ว.
ใครที่ยังใช้ไอพีโฟ่นรุ่นเหล่านี้เข้าไปดาวน์โหลด เฟิร์มแวร์เวอร์ชัน1.0.7.81 เพื่อมาอัพเกรดได้เลย: https://www.grandstream.com/support/firmware
แหล่งข่าว: Rapid7 Labs https://www.rapid7.com/blog/post/ve-cve-2026-2329-critical-unauthenticated-stack-buffer-overflow-in-grandstream-gxp1600-voip-phones-fixed/
