Корпорация Microsoft выпустила пакет обновлений для нескольких компонентов SQL Server, а также для платформы аналитики Fabric Data Warehouse и средства бизнес-аналитики Power BI Report Server. В общей сложности закрыто девять уязвимостей, самой высокой оценке по шкале CVSS v3 (8,8 балла) соответствует три из них. В зависимости от типа проблемы потенциальная атака может привести к повышению привилегий в системе, выполнению произвольного кода, несанкционированному доступу к конфиденциальным данным или подмене учётной записи пользователя.
Детали уязвимостей
Среди исправленных уязвимостей присутствуют ошибки различных классов. В перечень вошли проблемы, связанные с внешним контролем имени файла или пути, с некорректной нейтрализацией входных данных при генерации веб-страниц (межсайтовый скриптинг), а также с некорректной нейтрализацией специальных элементов в SQL-командах (SQL-инъекция). Кроме того, закрыты уязвимости, относящиеся к стековому переполнению буфера, избыточному чтению буфера, десериализации недоверенных данных и обращению к ресурсу через несовместимый тип (путаница типов).
Наибольшую угрозу с точки зрения балльной оценки представляют три уязвимости с показателем CVSS 8,8. CVE-2026-54117 и CVE-2026-54118 затрагивают непосредственно SQL Server и при эксплуатации дают злоумышленнику возможность выполнить произвольный код на целевом сервере. Третья из этой группы, CVE-2026-56642, относится к компоненту Microsoft Fabric Data Warehouse и также позволяет удалённо выполнить код. Две уязвимости SQL Server с оценкой 7,8 - CVE-2026-47296 и CVE-2026-55002 - нацелены на получение более высоких привилегий в системе. Ещё один дефект того же продукта, CVE-2026-47295 (8,8 балла), также даёт возможность повышения привилегий. Две уязвимости среднего уровня опасности (6,5 балла) - CVE-2026-50468 и CVE-2026-54116 - открывают доступ к конфиденциальным данным. В Power BI Report Server обнаружена проблема CVE-2026-58647 с оценкой 8,0, позволяющая злоумышленнику выдать себя за другого пользователя.
SQL Server остаётся одной из самых распространённых систем управления базами данных в корпоративном секторе. В случае успешной эксплуатации описанных уязвимостей атакующий может получить полный контроль над сервером, похитить критически важные данные, нарушить целостность баз данных или использовать скомпрометированный сервер как точку входа для бокового перемещения в инфраструктуре организации. Уязвимости, связанные с повышением привилегий, особенно опасны в средах, где сервер баз данных работает от учётной записи с особыми правами. Проблема в Power BI Report Server может быть использована для подмены отчётов или получения несанкционированного доступа к корпоративной аналитике.
Microsoft уже выпустила необходимые обновления для всех затронутых версий продуктов. Исправления доступны для SQL Server 2016 Service Pack 3 (GDR и Azure Connect Feature Pack), SQL Server 2017 (CU31 и GDR), SQL Server 2019 (CU32 и GDR), SQL Server 2022 (CU25 и GDR), а также для SQL Server 2025 (CU6 и GDR). Обновлён также Power BI Report Server. Компания рекомендует установить патчи как можно скорее. Дополнительная информация об уязвимостях и инструкции по установке опубликованы на портале Microsoft Security Response Center.
Регулярное обновление серверного программного обеспечения и средств бизнес-аналитики остаётся ключевой мерой защиты от атак, направленных на кражу данных или компрометацию инфраструктуры. Выход данного набора патчей ещё раз напоминает о важности своевременного управления исправлениями, особенно для систем, работающих с чувствительной информацией.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47295
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47296
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58647
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56642
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55002
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-54118
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-54117
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-54116
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50468