漏洞详情

包名: maven com.microsoft.sqlserver:mssql-jdbc

受影响版本

• = 11.2.0.jre11, < 11.2.4.jre11

• = 12.2.0.jre11, < 12.2.1.jre11

• = 12.6.0.jre11, < 12.6.5.jre11

• = 12.8.0.jre11, < 12.8.2.jre11

• = 12.10.0.jre11, < 12.10.2.jre11

• = 13.2.0.jre11, < 13.2.1.jre11

• = 8.3.0.jre11-preview, < 10.2.4.jre11

修复版本

• 11.2.4.jre11
• 12.2.1.jre11
• 12.6.5.jre11
• 12.8.2.jre11
• 12.10.2.jre11
• 13.2.1.jre11
• 10.2.4.jre11

漏洞描述

SQL Server的JDBC驱动存在输入验证不当问题，允许未经授权的攻击者通过网络进行欺骗攻击。

严重程度

高危 - CVSS评分：8.1分

CVSS v3基础指标

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：需要
• 范围：未改变
• 机密性：高
• 完整性：高
• 可用性：无

CVSS向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

弱点分类

CWE-20: 输入验证不当

产品接收输入或数据，但未验证或错误验证输入是否具有安全正确处理数据所需的属性。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-59250
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59250
• https://github.com/microsoft/mssql-jdbc/blob/main/CHANGELOG.md
• https://learn.microsoft.com/en-us/sql/connect/jdbc/microsoft-jdbc-driver-for-sql-server-support-matrix