CVE-2026-9586 in Switchvox SMB Edition
Tóm tắt
Bởi VulDB • 17/07/2026
Một lỗ hổng injection SQL chưa được xác thực tồn tại trong Sangoma Switchvox SMB Edition 8.3 (104997). Điểm cuối /pa xử lý nội dung XML bắt đầu bằng <PolycomIPPhone> và trực tiếp nối chuỗi giá trị PhoneIP do người dùng kiểm soát vào các truy vấn PostgreSQL mà không có quá trình lọc hoặc tham số hóa. Một kẻ tấn công từ xa chưa được xác thực có thể thực thi các câu lệnh SQL tùy ý trên cơ sở dữ liệu PostgreSQL phía sau bằng cách sử dụng một yêu cầu được tạo ra đặc biệt, bao gồm cả các thao tác trên cơ sở dữ liệu và việc thực thi mã từ xa (RCE).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.