Корпорация Microsoft опубликовала информацию о критической уязвимости внедрения SQL-кода (SQL injection) в SQL Server, которая может позволить аутентифицированным злоумышленникам повысить свои привилегии через сеть. Данная уязвимость, зарегистрированная под идентификатором CVE-2025-59499, получила оценку серьезности «Важная» и связана с неправильной нейтрализацией специальных элементов в SQL-командах.
Детали уязвимости
Уязвимость, раскрытая 11 ноября 2025 года, была классифицирована Microsoft как CNA (орган по нумерации CVE). Она отнесена к категории CWE-89, которая описывает уязвимости внедрения SQL-кода в приложениях баз данных. Показатель CVSS 3.1 варьируется от 7,7 до 8,8, что указывает на значительный риск безопасности. Следовательно, администраторам баз данных и командам безопасности необходимо немедленно принять меры.
Особую озабоченность вызывает сетевой вектор атаки. Вместо требования локального доступа к системе, злоумышленник с действительными учетными данными SQL Server может использовать уязвимость удаленно. В результате возможна полная компрометация всей среды баз данных. Более того, для эксплуатации уязвимости требуется низкая сложность атаки и не нужно взаимодействие с пользователем. Таким образом, она становится легкой мишенью для киберпреступников, имеющих легальный доступ к базе данных или получивших учетные данные другими способами.
С технической точки зрения, уязвимость возникает из-за недостаточной проверки входных данных в механизме обработки запросов SQL Server. Посредством внедрения специально созданных SQL-команд аутентифицированный злоумышленник может обойти средства контроля безопасности и выполнить произвольный SQL-код с повышенными привилегиями. Соответственно, это позволяет манипулировать, извлекать или удалять конфиденциальные данные, хранящиеся в базе, в зависимости от объема полученных прав.
Векторная строка CVSS раскрывает ключевые характеристики угрозы. Уязвимость требует низкой сложности атаки, что означает простоту разработки и выполнения методов эксплуатации. Влияние на конфиденциальность, целостность и доступность оценено как высокое. Следовательно, успешная эксплуатация может привести к полному compromise пораженной базы данных. На момент первоначального раскрытия оценка эксплуатационной пригодности от Microsoft указывает, что эксплуатация «менее вероятна». Это предполагает отсутствие широкого распространения публичного proof-of-concept кода или активной эксплуатации. Однако данная классификация может измениться по мере разработки работающих эксплойтов исследователями безопасности или начала активных атак злоумышленниками.
На сегодняшний день уязвимость не была публично раскрыта в детализированной технической форме, и нет подтвержденных сообщений об активной эксплуатации в реальных условиях. Тем не менее, организациям не следует интерпретировать это как причину для отсрочки установки исправлений. Сочетание доступности через сеть, требований к учетным данным и высокого воздействия делает эту уязвимость привлекательной целью для внутренних угроз и сложных киберпреступников, скомпрометировавших легитимные учетные записи.
Microsoft рекомендует организациям уделить первостепенное внимание установке исправлений для пораженных экземпляров SQL Server. Администраторам баз данных следует пересмотреть controls доступа и внедрить политики минимальных привилегий, чтобы снизить последствия в случае компрометации учетных данных. Дополнительно, мониторинг журналов SQL Server на предмет подозрительных шаблонов запросов и попыток эскалации привилегий может помочь обнаружить потенциальные попытки эксплуатации.
Организациям, использующим SQL Server в производственных средах, следует отнестись к этой уязвимости с особой серьезностью, особенно в системах, обрабатывающих чувствительные или критические данные. Командам безопасности необходимо координироваться с администраторами баз данных для развертывания доступных исправлений в запланированные окна обслуживания и проверки полной обновленности экземпляров SQL Server.
В заключение, данная уязвимость подчеркивает важность поддержания надежной практики безопасности баз данных. Регулярное обновление программного обеспечения, периодический пересмотр controls доступа и непрерывный мониторинг активности баз данных на признаки компрометации остаются ключевыми мерами против подобных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59499
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59499
