JDBC Driver for SQL Server 存在输入验证不当问题 · CVE-2025-59250 · GitHub Advisory Database
漏洞详情
软件包: maven:com.microsoft.sqlserver:mssql-jdbc
受影响版本:
>= 11.2.0.jre11, < 11.2.4.jre11>= 12.2.0.jre11, < 12.2.1.jre11>= 12.6.0.jre11, < 12.6.5.jre11>= 12.8.0.jre11, < 12.8.2.jre11>= 12.10.0.jre11, < 12.10.2.jre11>= 13.2.0.jre11, < 13.2.1.jre11>= 8.3.0.jre11-preview, < 10.2.4.jre11
已修复版本:
11.2.4.jre1112.2.1.jre1112.6.5.jre1112.8.2.jre1112.10.2.jre1113.2.1.jre1110.2.4.jre11
漏洞描述
SQL Server的JDBC驱动程序中存在输入验证不当的问题,允许未经授权的攻击者通过网络执行欺骗攻击。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-59250
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59250
- microsoft/mssql-jdbc#2798
- microsoft/mssql-jdbc#2800
- microsoft/mssql-jdbc#2801
- microsoft/mssql-jdbc#2802
- microsoft/mssql-jdbc#2803
- microsoft/mssql-jdbc#2807
- https://github.com/microsoft/mssql-jdbc/blob/main/CHANGELOG.md
- microsoft/mssql-jdbc@9732e1b#diff-45367b99a1951943bfecfc7765e80df687967aa56286a5b2e039f77cd9a0e118
- https://learn.microsoft.com/en-us/sql/connect/jdbc/microsoft-jdbc-driver-for-sql-server-support-matrix
时间线
- 国家漏洞数据库发布: 2025年10月14日
- GitHub Advisory数据库发布: 2025年10月14日
- 审阅: 2025年11月3日
- 最后更新: 2025年11月24日
严重性等级
高危 CVSS总体评分: 8.1 / 10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
EPSS 分数
0.169% (第39百分位) 此分数估计了该漏洞在未来30天内被利用的概率。
弱点分类
CWE-20: 输入验证不当 产品接收输入或数据,但未验证或错误地验证输入是否具备安全正确处理数据所需的属性。
标识符
- CVE ID: CVE-2025-59250
- GHSA ID: GHSA-m494-w24q-6f7w
源代码
- 仓库: microsoft/mssql-jdbc
致谢
- Fidget-Grep (分析师)
- andreasmh (分析师)
- urielcos (分析师)
本文档已编辑,查看历史记录。