CVE-2026-9586 in Switchvox SMB Editioninformação

Sumário

de VulDB • 17/07/2026

Existe uma vulnerabilidade de injeção de SQL não autenticada no Sangoma Switchvox SMB Edition 8.3 (104997). O endpoint /pa processa conteúdo XML que começa com <PolycomIPPhone> e concatena diretamente o valor PhoneIP, controlado pelo usuário, nas consultas do PostgreSQL sem sanitização ou parametrização. Um atacante remoto não autenticado pode executar instruções SQL arbitrárias contra o banco de dados backend PostgreSQL usando uma única solicitação manipulada ad hoc, incluindo operações no banco de dados e execução remota de código (RCE).

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

SRA

Reservar

26/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379866

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!