Microsoft SQL Server SQL注入漏洞分析与修复方案

荷兰国家网络安全中心发布安全通告,披露Microsoft SQL Server存在SQL注入漏洞,攻击者可通过特制SQL语句提升权限并访问未授权敏感信息。微软已发布修复更新,受影响版本包括2016至2022多个版本。

安全通告 NCSC-2025-0361 [1.0.0]

发布日期:2025年11月11日 19:34(欧洲/阿姆斯特丹)
优先级:普通
涉及内容:Microsoft SQL Server 漏洞修复

漏洞特征

SQL命令中特殊元素的不当中和(SQL注入)

漏洞描述

Microsoft已在SQL Server中修复了一个安全漏洞。经过身份验证的恶意攻击者可利用此漏洞,通过特制的SQL语句(SQL注入)获取提升的权限,从而访问其原本未授权的敏感信息。

解决方案

Microsoft已发布修复所述漏洞的更新程序。我们建议您安装这些更新。有关漏洞、更新安装以及任何变通方案的更多信息,请访问: https://portal.msrc.microsoft.com/en-us/security-guidance

CVE编号

CVE-2025-59499 - CVSS (v3) 评分 8.8

受影响产品

Microsoft

  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
  • Microsoft SQL Server 2017 for x64-based Systems (CU 31)
  • Microsoft SQL Server 2017 for x64-based Systems (GDR)
  • Microsoft SQL Server 2019 for x64-based Systems (CU 32)
  • Microsoft SQL Server 2019 for x64-based Systems (GDR)
  • Microsoft SQL Server 2022 for x64-based Systems (CU 21)
  • Microsoft SQL Server 2022 for x64-based Systems (GDR)

免责声明

荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全通告的访问。使用此安全通告需遵守以下条款和条件:

  1. NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。尽管如此,NCSC-NL不能完全排除错误的可能性,因此不能就其完整性、准确性或持续更新提供任何保证。此安全通告中包含的信息仅用于向专业用户提供一般信息。不得从所提供的信息中衍生任何权利。

  2. NCSC-NL和荷兰王国对因使用或无法使用此安全通告而导致的任何损害不承担法律责任或义务。这包括因通告中信息不准确或不完整而造成的损害。

  3. 本安全通告受荷兰法律管辖。与使用本通告相关或由此产生的所有争议将提交给海牙有管辖权的法院。此选择方式也适用于简易程序法院。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次