Vulnerabilitatea Microsoft SQL Server permite extinderea privilegiilor

Microsoft a lansat actualizări de securitate pentru a remedia o vulnerabilitate severă în SQL Server, permițând atacatorilor să obțină privilegii de sistem sporite.

Vulnerabilitatea, identificată ca CVE-2025-59499, a fost dezvăluită pe 11 noiembrie 2025 și afectează mai multe versiuni, inclusiv SQL Server 2016, 2017, 2019 și 2022.

Această vulnerabilitate provine din gestionarea necorespunzătoare a caracterelor speciale în comenzile SQL, generând o breșă pentru atacuri de tip SQL injection care pot compromite securitatea bazei de date.

Vulnerabilitatea are un scor CvSS de 8.8/10, ceea ce o clasifică ca având un grad de severitate high, necesitând atenția imediată a administratorilor de sistem.

Această problemă afectează confidențialitatea, integritatea și disponibilitatea sistemelor SQL Server, permițând accesul neautorizat la date sensibile și la controalele sistemului.

Specialiștii în domeniul securității de la Microsoft au identificat această vulnerabilitate ca fiind o eroare de tip SQL injection clasificată sub CWE-89.

Această vulnerabilitate permite utilizatorilor autorizați cu privilegii limitate să injecteze comenzi T-SQL rău intenționate prin intermediul unor nume de baze de date special create.

Aceasta funcționează prin exploatarea modului în care SQL Server procesează numele bazelor de date în interogări. Atacatorii pot crea nume de baze de date rău intenționate care conțin caractere SQL speciale care nu sunt analizate corespunzător de server.

Microsoft a lansat patch-uri de securitate pentru toate versiunile afectate prin canalele General Distribution Release (GDR) și Cumulative Update (CU).

Administratorii trebuie să aplice imediat actualizările corespunzătoare în funcție de versiunea curentă a SQL Server și de calea de actualizare pentru a-și proteja sistemele împotriva potențialelor exploatări.

Sursă: https://cybersecuritynews.com/microsoft-sql-server-vulnerability/