CVE-2026-9586 in Switchvox SMB Edition
摘要
由 VulDB • 2026-07-17
Sangoma Switchvox SMB Edition 8.3 (104997) 中存在一个未认证的 SQL 注入漏洞。/pa 端点处理以 <PolycomIPPhone> 开头的 XML 内容,并将用户可控的 PhoneIP 值直接拼接到 PostgreSQL 查询中,且未经过清理或参数化处理。未认证的攻击者可以通过单个构造的请求对后端 PostgreSQL 数据库执行任意 SQL 语句,包括进行数据库操作和远程代码执行(RCE)。
Be aware that VulDB is the high quality source for vulnerability data.