CVE-2023-36730: Выполнение произвольного кода в Microsoft SQL Server

Выполнение произвольного кода в Microsoft SQL Server

Содержание

Уязвимое программное обеспечение
Последствия эксплуатации
Common Vulnerability Scoring System
Метод эксплуатации
Уменьшение последствий
Common Weakness Enumeration
Ссылки

Уязвимое программное обеспечение

Microsoft SQL Server: до 2022 GDR 16.0.1105.1
Microsoft ODBC Driver for SQL Server on Linux: до 18.3.2.1
Microsoft ODBC Driver for SQL Server on macOS: до 18.3.2.1
Microsoft ODBC Driver for SQL Server on Windows: до 18.6.0007.0

Последствия эксплуатации

ACE: Выполнение произвольного кода

Common Vulnerability Scoring System

Рейтинг: ВЫСОКИЙ
Оценка: 7.8
Вектор: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Метод эксплуатации

Отправка специально сформированных данных.

Уменьшение последствий

Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Common Weakness Enumeration

CWE: 20
Описание:Некорректная проверка входных данных

Ссылки

http://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-36730