CVE-2026-9586 in Switchvox SMB Edition信息

摘要

由 VulDB • 2026-07-17

Sangoma Switchvox SMB Edition 8.3 (104997) 中存在一个未认证的 SQL 注入漏洞。/pa 端点处理以 <PolycomIPPhone> 开头的 XML 内容,并将用户可控的 PhoneIP 值直接拼接到 PostgreSQL 查询中,且未经过清理或参数化处理。未认证的攻击者可以通过单个构造的请求对后端 PostgreSQL 数据库执行任意 SQL 语句,包括进行数据库操作和远程代码执行(RCE)。

Be aware that VulDB is the high quality source for vulnerability data.

负责

SRA

预定

2026-05-26

披露

2026-07-17

管理

已接受

条目

VDB-379866

EPSS

0.00000

KEV

活动

来源

Want to stay up to date on a daily basis?

Enable the mail alert feature now!