JDBC Driver for SQL Server 存在不当输入验证问题
漏洞详情
CVE编号: CVE-2025-59250 严重等级: 高 (CVSS评分: 8.1) 漏洞类型: 不当输入验证 (CWE-20)
漏洞描述
SQL Server的JDBC驱动程序中存在不当输入验证问题,允许未经授权的攻击者通过网络进行欺骗攻击。
受影响版本
com.microsoft.sqlserver:mssql-jdbc(Maven)- 受影响的具体版本范围:
-
= 11.2.0.jre11, < 11.2.4.jre11
-
= 12.2.0.jre11, < 12.2.1.jre11
-
= 12.6.0.jre11, < 12.6.5.jre11
-
= 12.8.0.jre11, < 12.8.2.jre11
-
= 12.10.0.jre11, < 12.10.2.jre11
-
= 13.2.0.jre11, < 13.2.1.jre11
-
= 8.3.0.jre11-preview, < 10.2.4.jre11
-
已修复版本
- 11.2.4.jre11
- 12.2.1.jre11
- 12.6.5.jre11
- 12.8.2.jre11
- 12.10.2.jre11
- 13.2.1.jre11
- 10.2.4.jre11
技术细节
CVSS v3.1 基准指标
- 攻击向量: 网络 (AV:N)
- 攻击复杂度: 低 (AC:L)
- 所需权限: 无 (PR:N)
- 用户交互: 需要 (UI:R)
- 影响范围: 未改变 (S:U)
- 机密性影响: 高 (C:H)
- 完整性影响: 高 (I:H)
- 可用性影响: 无 (A:N)
EPSS评分
- 漏洞利用预测评分系统: 0.169% (第39百分位)
- 此分数估计了该漏洞在未来30天内被利用的概率
参考资源
官方链接
- NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-59250
- 微软安全响应中心: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59250
- JDBC驱动程序支持矩阵: https://learn.microsoft.com/en-us/sql/connect/jdbc/microsoft-jdbc-driver-for-sql-server-support-matrix
GitHub相关链接
-
源代码仓库: microsoft/mssql-jdbc
-
变更日志: https://github.com/microsoft/mssql-jdbc/blob/main/CHANGELOG.md
- #2798
- #2800
- #2801
- #2802
- #2803
- #2807
时间线
- NVD发布日期: 2025年10月14日
- GitHub咨询数据库发布日期: 2025年10月14日
- 审核日期: 2025年11月3日
- 最后更新: 2025年11月24日
致谢
以下分析师为本次漏洞发现做出了贡献:
- Fidget-Grep
- andreasmh
- urielcos
GHSA ID: GHSA-m494-w24q-6f7w