思科剛剛修補了一個關鍵的SQL注入漏洞，該漏洞存在於Cisco Prime License Manager（PLM）的Web框架程式碼中，旨在幫助管理員在企業範圍內管理使用者許可。

在成功利用CVE-2018-15441安全問題之後，潛在的遠端攻擊者可以在脆弱的機器上執行任意SQL查詢。

根據思科在Cisco Prime License Manager解決方案中詳細說明此SQL注入安全漏洞的建議，問題在於“缺乏對SQL查詢中使用者提供的輸入的正確驗證”。

思科還說:“攻擊者可以通過向受影響的應用程式傳送包含惡意SQL語句的精心製作的HTTP POST請求來利用這個漏洞。”

此外，設法使用漏洞攻擊來破壞易受攻擊目標的攻擊者還可以刪除或修改Prime License Manager資料庫中的任何資料，以及使用postgres使用者帳戶的系統許可權獲取shell訪問許可權。

目前還沒有已知的解決此漏洞的方法，但思科已經發布瞭解決漏洞的軟體更新。

此漏洞僅影響PLM 11.0.1或更高版本的安裝

CVE-2018-15441安全問題會影響Cisco Prime License Manager 11.0.1及更高版本，因為同時部署和獨立部署都會受到影響。

在coreident配置中，Cisco Prime License Manager解決方案作為Cisco Unified Communications Manager和Cisco Unity Connection套件的一部分安裝。

此外，由於Cisco PLM未包含在Cisco Unity Connection和Cisco Unified Communications Manager的12.0或更高版本中，因此這兩個套件的這些版本不受此SQL注入漏洞的影響。

該公告還稱，“思科產品安全事件響應小組（PSIRT）並未發現任何公告或惡意使用此通報中描述的漏洞”。