CVE-2026-9586 in Switchvox SMB Editioninformation

Résumé

par VulDB • 17/07/2026

Une vulnérabilité d'injection SQL non authentifiée existe dans Sangoma Switchvox SMB Edition 8.3 (104997). Le point de terminaison /pa traite le contenu XML commençant par <PolycomIPPhone> et concatène directement la valeur PhoneIP, contrôlée par l'utilisateur, dans les requêtes PostgreSQL sans assainissement ni paramétrisation. Un attaquant distant non authentifié peut exécuter des instructions SQL arbitraires contre la base de données backend PostgreSQL à l'aide d'une seule requête fabriquée, y compris des opérations sur la base de données et une exécution de code à distance (RCE).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

SRA

Réserver

26/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379866

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!