Kritična ranjivost u Microsoft SQL Serveru, označena kao CVE-2025-49719, omogućava neovlašćenim napadačima pristup osjetljivim podacima putem mrežnih veza. Ova ranjivost proizlazi iz nepravilne validacije unosa u mehanizmima obrade SQL Servera, što napadačima dopušta otkrivanje neinicijalizovanog sadržaja memorije bez potrebe za autentifikacijom ili interakcijom korisnika. Utvrđeno je da se ranjivost odnosi na više verzija SQL Servera, od 2016. do 2022. godine, a Microsoft je 8. jula 2025. objavio ključna sigurnosna ažuriranja kako bi se ovo značajno sigurnosno pitanje riješilo.
Ranjivost je klasifikovana pod CWE-20: Nepravilna validacija unosa, što ukazuje na temeljni propust u načinu na koji SQL Server obrađuje dolazne mrežne zahtjeve. Sa CVSS 3.1 osnovnim rezultatom od 7.5 i temporalnim rezultatom od 6.5, svrstana je u kategoriju “Važne” u pogledu ozbiljnosti. Ova tehnička slabost dozvoljava napadačima da iskoriste nedovoljne rutine validacije unosa, potencijalno pristupajući neinicijalizovanim memorijskim regijama koje mogu sadržavati osjetljive podatke baze podataka, stringove za povezivanje ili druge povjerljive podatke.
Karakteristike vektora napada čine ovu ranjivost posebno zabrinjavajućom za korporativna okruženja. CVSS vektor string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N ukazuje na mrežne napade niske složenosti, koji ne zahtijevaju nikakve privilegije ili interakciju korisnika. Ovaj aranžman omogućava udaljenim napadačima da potencijalno izvuku osjetljive informacije iz instanci SQL Servera koje su izložene mrežnom pristupu, čineći ih primarnom metom za automatizovane alate za eksploataciju i aktivnosti izviđanja.
Mehanizam eksploatacije koristi mrežne vektore napada koji ne zahtijevaju nikakve akreditive za autentifikaciju ili interakciju korisnika, značajno smanjujući barijeru za uspješne napade. Napadači mogu kreirati zlonamjerne mrežne pakete usmjerene na rutine validacije unosa SQL Servera, potencijalno pokrećući otkrivanje neinicijalizovanog sadržaja memorije. Mrežna dostupnost ranjivosti znači da bilo koja instanca SQL Servera koja je dostupna putem TCP/IP veza može biti podložna napadima otkrivanja informacija.
Procjena eksploatabilnosti ukazuje na to da, iako je ranjivost javno objavljena, aktivna eksploatacija ostaje “manje vjerovatna” prema Microsoftovoj analizi. Međutim, kombinacija mrežne dostupnosti i odsustva zahtjeva za autentifikacijom stvara značajnu površinu napada za aktere prijetnji. Organizacije koje koriste SQL Server u cloud okruženjima, posebno Windows Azure IaaS implementacije, suočavaju se sa dodatnim rizicima izloženosti zbog šire površine mrežnih napada inherentne cloud infrastrukturi.
Microsoft je objavio sveobuhvatna sigurnosna ažuriranja koja rješavaju CVE-2025-49719 za sve podržane verzije SQL Servera. Strategija sanacije uključuje primjenu ažuriranja specifičnih za verzije, uključujući pakete General Distribution Release (GDR) i Cumulative Update (CU). Ključna ažuriranja uključuju KB 5058721 za SQL Server 2022 CU19+GDR (verzija 16.0.4200.1), KB 5058722 za SQL Server 2019 CU32+GDR (verzija 15.0.4435.7) i KB 5058714 za SQL Server 2017 CU31+GDR (verzija 14.0.3495.9).
Organizacije moraju dati prioritet hitnoj primjeni zakrpa, posebno za instance SQL Servera koje su izložene internetu. Administratori baza podataka bi trebali implementirati mrežnu segmentaciju i kontrole pristupa kao dodatne zaštitne mjere tokom koordinacije implementacije ažuriranja u okviru korporativnih okruženja.