CVE-2026-9586 in Switchvox SMB Editionthông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Một lỗ hổng injection SQL chưa được xác thực tồn tại trong Sangoma Switchvox SMB Edition 8.3 (104997). Điểm cuối /pa xử lý nội dung XML bắt đầu bằng <PolycomIPPhone> và trực tiếp nối chuỗi giá trị PhoneIP do người dùng kiểm soát vào các truy vấn PostgreSQL mà không có quá trình lọc hoặc tham số hóa. Một kẻ tấn công từ xa chưa được xác thực có thể thực thi các câu lệnh SQL tùy ý trên cơ sở dữ liệu PostgreSQL phía sau bằng cách sử dụng một yêu cầu được tạo ra đặc biệt, bao gồm cả các thao tác trên cơ sở dữ liệu và việc thực thi mã từ xa (RCE).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

SRA

Đặt trước

26/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!