Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει μια σοβαρή ευπάθεια στον SQL Server που επιτρέπει στους εισβολείς να αποκτήσουν υψηλότερα προνόμια συστήματος.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-59499, αποκαλύφθηκε στις 11 Νοεμβρίου 2025 και επηρεάζει πολλές εκδόσεις, συμπεριλαμβανομένων των SQL Server 2016, 2017, 2019 και 2022.
Αυτή η ευπάθεια προέρχεται από ακατάλληλο χειρισμό ειδικών χαρακτήρων σε εντολές SQL, δημιουργώντας ένα άνοιγμα για επιθέσεις SQL injection που μπορούν να θέσουν σε κίνδυνο την ασφάλεια της βάσης δεδομένων.
Η ευπάθεια φέρει βαθμολογία CVSS 8,8, χαρακτηρίζοντάς την ως ζήτημα υψηλής σοβαρότητας που απαιτεί άμεση προσοχή από τους διαχειριστές του συστήματος.
Ένας εισβολέας με πρόσβαση χαμηλού επιπέδου μπορεί να εκμεταλλευτεί αυτό το ελάττωμα σε ένα δίκτυο χωρίς καμία αλληλεπίδραση με τον χρήστη, καθιστώντας το ιδιαίτερα επικίνδυνο για εκτεθειμένους διακομιστές βάσεων δεδομένων.
Το ζήτημα επηρεάζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των συστημάτων SQL Server, επιτρέποντας ενδεχομένως μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα και στοιχεία ελέγχου συστήματος.
Ερευνητές ασφαλείας της Microsoft αναγνωρισθείς αυτή η ευπάθεια ως αδυναμία έγχυσης SQL που ταξινομείται στο CWE-89.
Το ελάττωμα επιτρέπει σε εξουσιοδοτημένους χρήστες με περιορισμένα προνόμια να εισάγουν κακόβουλες εντολές T-SQL μέσω ονομάτων βάσης δεδομένων ειδικά κατασκευασμένα.
Όταν γίνεται επιτυχής εκμετάλλευση, οι εισβολείς μπορούν να εκτελέσουν αυθαίρετες εντολές με αυξημένα δικαιώματα, αποκτώντας ενδεχομένως τον πλήρη έλεγχο του συστήματος βάσης δεδομένων.
Μηχανισμός Επίθεσης
Η ευπάθεια λειτουργεί με την εκμετάλλευση του τρόπου με τον οποίο ο SQL Server επεξεργάζεται τα ονόματα των βάσεων δεδομένων σε ερωτήματα. Οι εισβολείς μπορούν να δημιουργήσουν κακόβουλα ονόματα βάσεων δεδομένων που περιέχουν ειδικούς χαρακτήρες SQL που δεν έχουν απολυμανθεί σωστά από τον διακομιστή.
Όταν υποβάλλονται σε επεξεργασία αυτά τα επεξεργασμένα ονόματα, οι εντολές T-SQL που εισάγονται εκτελούνται με τα δικαιώματα της διαδικασίας που εκτελεί το ερώτημα.
Εάν η διαδικασία εκτελείται με δικαιώματα sysadmin, ο εισβολέας αποκτά πλήρη διαχειριστικό έλεγχο σε ολόκληρη την παρουσία του SQL Server, επιτρέποντάς του να διαβάσει, να τροποποιήσει ή να διαγράψει τυχόν δεδομένα, να δημιουργήσει νέους λογαριασμούς ή να εκτελέσει εντολές σε επίπεδο συστήματος.
Λεπτομέρειες ευπάθειας: –
| Ιδιοκτησία | Καθέκαστα |
|---|---|
| CVE ID | CVE-2025-59499 |
| Τύπος ευπάθειας | SQL Injection (CWE-89) |
| Βαθμολογία CVSS | 8,8 (Υψηλό) |
| Διάνυσμα επίθεσης | Δίκτυο |
| Πολυπλοκότητα επίθεσης | Χαμηλός |
| Απαιτούμενα προνόμια | Χαμηλός |
| Αλληλεπίδραση χρήστη | Κανένας |
| Αυστηρότητα | Σπουδαίος |
| Δημόσια αποκάλυψη | Οχι |
| Εκμεταλλεύεται άγρια | Οχι |
| Ημερομηνία κυκλοφορίας | 11 Νοεμβρίου 2025 |
| Εκδόσεις που επηρεάζονται | SQL Server 2016, 2017, 2019, 2022 |
Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας για όλες τις εκδόσεις που επηρεάζονται τόσο μέσω των καναλιών General Distribution Release (GDR) όσο και Cumulative Update (CU).
Οι διαχειριστές θα πρέπει να εφαρμόζουν αμέσως τις κατάλληλες ενημερώσεις με βάση την τρέχουσα έκδοση του SQL Server και τη διαδρομή ενημέρωσης για να προστατεύσουν τα συστήματά τους από πιθανή εκμετάλλευση.
