Kritična ranjivost u Microsoft SQL Serveru, označena kao CVE-2025-49719, omogućava neautorizovanim napadačima pristup osjetljivim podacima preko mrežnih veza. Ova ranjivost proizlazi iz nepravilne validacije ulaznih podataka u mehanizmima obrade SQL Servera, dopuštajući napadačima da otkriju neinicijalizovane sadržaje memorije bez potrebe za autentifikacijom ili interakcijom korisnika.
Ova greška u SQL Serveru (CVE-2025-49719) otkrila je osjetljive podatke zbog nedovoljne provjere unosa. Može se iskoristiti putem mreže, utičući na verzije SQL Servera od 2016. do 2022. godine, a za njeno iskorištavanje nije potrebna nikakva autentifikacija. Microsoft je objavio neophodne bezbjednosne zakrpe, te se savjetuje hitno ažuriranje. Napadači mogu pristupiti neinicijalizovanoj memoriji, curenjem povjerljivih podataka iz baza podataka.
Ranjivost pogađa više verzija SQL Servera od 2016. do 2022. godine, a bezbjednosna ažuriranja objavljena su 8. jula 2025. radi rješavanja ovog značajnog sigurnosnog problema.
Kategorizovana kao CWE-20: Nepravilna validacija ulaznih podataka, CVE-2025-49719 predstavlja temeljni propust u načinu na koji SQL Server obrađuje dolazne mrežne zahtjeve.
Ova ranjivost ima osnovni CVSS 3.1 rejting od 7.5, sa vremenskim rejtingom od 6.5, što je svrstava u kategoriju “Važna” po stepenu ugroženosti. Tehnička slabost omogućava napadačima da iskoriste nedovoljne procedure provjere unosa, potencijalno pristupajući neinicijalizovanim memorijskim područjima koja mogu sadržavati osjetljive podatke iz baze podataka, konekcione stringove ili druge povjerljive podatke.
Karakteristike vektora napada ove ranjivosti čine je posebno zabrinjavajućom za korporativna okruženja. CVSS vektorski niz CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N ukazuje na napade zasnovane na mreži niske složenosti, koji ne zahtijevaju privilegije niti interakciju korisnika. Ova konfiguracija omogućava udaljenim napadačima da potencijalno ekstrahuju osjetljive informacije iz SQL Server instanci dostupnih putem mreže, čineći ih metom za automatizovane alate za iskorištavanje i aktivnosti izviđanja.
Mehanizam iskorištavanja koristi mrežne vektore napada koji ne zahtijevaju nikakve akreditive za autentifikaciju ili interakciju korisnika, značajno snižavajući prag za uspješne napade. Napadači mogu kreirati zlonamjerne mrežne pakete usmjerene na procedure provjere unosa SQL Servera, potencijalno pokrećući otkrivanje neinicijalizovanih sadržaja memorije. Mrežna dostupnost ranjivosti znači da svaka SQL Server instanca dostupna putem TCP/IP veza može biti podložna napadima otkrivanja informacija.
Procjena mogućnosti iskorištavanja ukazuje da, iako je ranjivost javno objelodanjena, aktivno iskorištavanje ostaje “Manje vjerovatno” prema Microsoftovoj analizi. Međutim, kombinacija mrežne dostupnosti i nepostojanja zahtjeva za autentifikacijom stvara značajnu površinu za napad za aktere prijetnji. Organizacije koje koriste SQL Server u cloud okruženjima, posebno Windows Azure IaaS implementacije, suočavaju se sa dodatnim rizicima izloženosti zbog šire mrežne površine napada inherentne u cloud infrastrukturi.
Faktori rizika uključuju pogođene proizvode: Microsoft SQL Server 2016, 2017, 2019, 2022 (sve podržane verzije; razne GDR/CU verzije), uticaj kao što je otkrivanje informacija, preduvjete za iskorištavanje bez potrebe za autentifikacijom ili interakcijom korisnika i CVSS 3.1 rejting od 7.5 (visok).
Microsoft je objavio sveobuhvatna sigurnosna ažuriranja koja se bave CVE-2025-49719 u svim podržanim verzijama SQL Servera. Strategija sanacije podrazumijeva primjenu ažuriranja specifičnih za verziju, uključujući pakete General Distribution Release (GDR) i Cumulative Update (CU). Ključna ažuriranja uključuju KB 5058721 za SQL Server 2022 CU19+GDR (verzija 16.0.4200.1), KB 5058722 za SQL Server 2019 CU32+GDR (verzija 15.0.4435.7) i KB 5058714 za SQL Server 2017 CU31+GDR (verzija 14.0.3495.9).
Organizacije moraju dati prioritet hitnoj primjeni zakrpa, posebno za SQL Server instance izložene internetu. Administatori baza podataka bi trebali implementirati mrežnu segmentaciju i kontrole pristupa kao dodatne zaštitne mjere prilikom koordinacije primjene ažuriranja u korporativnim okruženjima.
