CVE-2023-49954：3CX CRM 集成中的 SQL 注入缺陷

　　在 3CX 的 VoIP 软件中发现了一个严重的安全漏洞，促使该公司敦促客户立即禁用其 CRM 集成。虽然细节仍处于保密状态，但数据泄露的可能性很大。

　　恶意行为者，只要有一小段代码，就有可能将自己注入到你的客户数据库中。姓名、电子邮件、敏感信息——所有这些都通过无声的尖叫暴露无遗，隐藏在旨在简化业务的工具中。

　　该漏洞被称为 CVE-2023-49954，存在于 3CX 处理其 CRM 集成模板中用户输入的方式中。这些模板用于连接到各种数据库，包含占位符，如“([FirstName]，[SearchText]，[Email])”。不幸的是，这些占位符仍未经过审查，为恶意行为者将其代码注入数据库查询打开了大门。

　　在博客中，研究人员展示了如何利用 CVE-2023-49954 漏洞的详细信息。

　　“如果你使用的是SQL数据库集成，它可能会受到漏洞的影响 - 取决于配置，”3CX的首席信息安全官Pierre Jourdan说。“作为预防措施，在我们进行修复时，请按照以下说明禁用它。”

　　18CX 软件的第 20 版和第 3 版容易受到影响，可能会影响数十万家企业。虽然 3CX 向我们保证，他们的用户群中只有 0.25% 使用 CRM 集成，但潜在受害者的绝对数量让我们不寒而栗。

　　修复正在进行中，但在此之前，保持警惕是关键。3CX 敦促用户立即禁用其 CRM 集成，并在其设置中将 CRM 解决方案设置为“无”。