Vulnerabilitate de tip zero-day în Microsoft SQL Server

A fost identificată o vulnerabilitate de dezvăluire a informațiilor în Microsoft SQL Server, clasificată ca CVE-2025-49719, ce ar putea permite atacatorilor neautorizați să acceseze date sensibile prin conexiuni de rețea.

Această vulnerabilitate provine din validarea necorespunzătoare a datelor de intrare în cadrul mecanismelor de procesare ale SQL Server, permițând atacatorilor să dezvăluie conținutul memoriei neinițializate fără a necesita autentificarea sau interacțiunea utilizatorului.

Vulnerabilitatea afectează mai multe versiuni SQL Server din 2016 până în 2022, actualizările de securitate fiind disponibile pentru remediere.

Vulnerabilitatea CVE-2025-49719 este clasificată în categoria CWE-20: Improper Input Validation, reprezentând o vulnerabilitate fundamentală în modul în care SQL Server procesează cererile de rețea primite.

Aceasta permite atacatorilor să exploateze procedurile insuficiente de validare a datelor de intare, permțând accesarea zonei de memorie neinițializată ce poate conține informații sensibile despre baza de date, secvențe de conexiune sau alte structuri de date confidențiale.

Atacatorii pot crea pachete de rețea malițioase care vizează funcțiile de validare a datelor de intrare ale SQL Server, putând declanșa divulgarea conținutului memoriei neinițializate.

Accesibilitatea la rețea a vulnerabilității înseamnă că orice instanță SQL Server accesibilă prin conexiuni TCP/IP ar putea fi vulnerabilă la atacuri de divulgare a informațiilor.

Microsoft a lansat actualizări de securitate ce abordează CVE-2025-49719 pentru toate versiunile SQL Server acceptate.

Actualizările critice includ KB 5058721 pentru SQL Server 2022 CU19+GDR (versiunea 16.0.4200.1), KB 5058722 pentru SQL Server 2019 CU32+GDR (versiunea 15.0.4435.7) și KB 5058714 pentru SQL Server 2017 CU31+GDR (versiunea 14.0.3495.9).

Sursă: https://cybersecuritynews.com/microsoft-sql-server-0-day-vulnerability/