CVE-2026-9586 in Switchvox SMB Edition
Résumé
par VulDB • 17/07/2026
Une vulnérabilité d'injection SQL non authentifiée existe dans Sangoma Switchvox SMB Edition 8.3 (104997). Le point de terminaison /pa traite le contenu XML commençant par <PolycomIPPhone> et concatène directement la valeur PhoneIP, contrôlée par l'utilisateur, dans les requêtes PostgreSQL sans assainissement ni paramétrisation. Un attaquant distant non authentifié peut exécuter des instructions SQL arbitraires contre la base de données backend PostgreSQL à l'aide d'une seule requête fabriquée, y compris des opérations sur la base de données et une exécution de code à distance (RCE).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.