思科修复基础许可证管理器中的SQL注入漏洞

近日，思科发布了安全更新，以解决思科基础许可证管理器（CiscoPrime License Manager）网页框架代码中的安全漏洞，攻击者可利用该漏洞执行任意SQL查询。

据报道，思科修复了思科基础许可证管理器（CiscoPrime License Manager）中的漏洞，未经身份验证的远程攻击者可利用该漏洞执行任意SQL查询。

该漏洞源于用户输入的SQL查询中缺乏正确的验证。攻击者可通过向易受攻击的应用程序发送其制作的HTTP POST请求来触发漏洞，该请求中包含恶意SQL语句。

思科发布通知表示，“思科基础许可证管理器（CiscoPrime License Manager）网页框架代码中的安全漏洞可允许未经身份验证的远程攻击者执行任意SQL查询。”

“该漏洞源于用户输入的SQL查询中缺乏正确的验证。攻击者可通过向受影响的应用程序发送其制作的、包含恶意SQL语句的HTTP POST请求来利用该漏洞。成功发起攻击后，攻击者可修改或删除PLM数据库中的任意数据，或者利用postgres用户特权获得shell访问权限。”

该漏洞由沙特信息技术公司（SaudiInformation Technology Company）苏哈伊尔·阿拉斯加（SuhailAlaskar）报告。该漏洞感染了思科基础许可证管理器版本11.0.1后，又感染了思科基础许可证管理器的独立部署与及集中部署，在集中部署中，基础许可证管理器作为思科统一通信管理器（Cisco Unified Communications Manager）与思科统一连接（Cisco Unity Connection）安装包的一部分而被自动安装。

由于思科统一通信管理器与思科统一连接发布的版本12.0及后续版本更新中不再包含基础许可证管理器，故这些更新版本并未受该漏洞感染。

为解决思科基础许可证管理器中的漏洞，思科发布了补丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn，目前尚无其他办法可解决该漏洞。

该公司还表示，“思科基础许可证管理器发布的补丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn中已修复该漏洞。同样的COP文件可用于思科基础许可证管理器的独立部署，以及思科统一通信管理器与思科统一连接受感染版本的集中部署。”

思科并未注意到利用该漏洞进行的外部攻击。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。