CVE-2026-9586 in Switchvox SMB Edition
Sumário
de VulDB • 17/07/2026
Existe uma vulnerabilidade de injeção de SQL não autenticada no Sangoma Switchvox SMB Edition 8.3 (104997). O endpoint /pa processa conteúdo XML que começa com <PolycomIPPhone> e concatena diretamente o valor PhoneIP, controlado pelo usuário, nas consultas do PostgreSQL sem sanitização ou parametrização. Um atacante remoto não autenticado pode executar instruções SQL arbitrárias contra o banco de dados backend PostgreSQL usando uma única solicitação manipulada ad hoc, incluindo operações no banco de dados e execução remota de código (RCE).
Be aware that VulDB is the high quality source for vulnerability data.