CVE-2026-9586 in Switchvox SMB Edition
Riassunto
di VulDB • 17/07/2026
È presente una vulnerabilità di SQL injection non autenticata in Sangoma Switchvox SMB Edition 8.3 (104997). L'endpoint /pa elabora contenuti XML che iniziano con <PolycomIPPhone> e concatena direttamente il valore PhoneIP, controllato dall'utente, nelle query PostgreSQL senza sanitizzazione o parametrizzazione. Un attaccante remoto non autenticato può eseguire istruzioni SQL arbitrarie contro il database backend PostgreSQL utilizzando una singola richiesta appositamente creata (crafted request), incluse operazioni sul database ed esecuzione di codice in modalità remota (RCE).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.