受影响系统：

　　Cisco CUCM 6.1

　　Cisco CUCM 6.0

　　Cisco CUCM 5.1

　　Cisco CUCM 5.0

　　不受影响系统：

　　Cisco CUCM 6.1(1a)

　　Cisco CUCM 5.1(3a)

　　描述：

　　BUGTRAQ ID: 27775

　　CVE(CAN) ID: CVE-2008-0026

　　Cisco Unified Communications Manager(CUCM，之前被称为CallManager)是Cisco IP电话解决方案中的呼叫处理组件。

　　CUCM的管理员和用户界面页面的key参数存在SQL注入漏洞，远程攻击者可能利用此漏洞获取敏感信息。

　　攻击者可以在管理员或用户界面页面的key参数中输入特制值触发SQL注入漏洞，可通过Web界面使用http或https协议来执行攻击，成功攻击可以终止SQL调用，强制到后端数据库的连接，导致泄露敏感信息，如用户名和口令哈希。

　　<*来源：Nico Leidecker

　　Tracey Parry

　　链接：http://secunia.com/advisories/28932/

　　http://www.cisco.com/warp/public/707/cisco-sa-20080213-cucmsql.shtml

　　*>

　　建议：

　　Cisco已经为此发布了一个安全公告(cisco-sa-20080213-cucmsql)以及相应补丁:

　　cisco-sa-20080213-cucmsql：SQL injection in Cisco Unified Communications Manager

　　链接：http://www.cisco.com/warp/public/707/cisco-sa-20080213-cucmsql.shtml

　　补丁下载：

　　http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-51?psrtdcat20e2

　　http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-61?psrtdcat20e2