CVE-2026-9586 in Switchvox SMB Editioninformazioni

Riassunto

di VulDB • 17/07/2026

È presente una vulnerabilità di SQL injection non autenticata in Sangoma Switchvox SMB Edition 8.3 (104997). L'endpoint /pa elabora contenuti XML che iniziano con <PolycomIPPhone> e concatena direttamente il valore PhoneIP, controllato dall'utente, nelle query PostgreSQL senza sanitizzazione o parametrizzazione. Un attaccante remoto non autenticato può eseguire istruzioni SQL arbitrarie contro il database backend PostgreSQL utilizzando una singola richiesta appositamente creata (crafted request), incluse operazioni sul database ed esecuzione di codice in modalità remota (RCE).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

SRA

Prenotare

26/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!