Kritična ranjivost u Microsoft SQL Serveru, označena kao CVE-2025-49719, omogućava neovlašćenim napadačima pristup osjetljivim podacima preko mrežnih veza.
Ova ranjivost potiče iz nepravilne validacije unosa u mehanizmima obrade SQL Servera, što napadačima omogućava da razotkriju neinicijalizovane memorijske sadržaje bez potrebe za autentifikacijom ili interakcijom korisnika.
Ključne tačke:
1. Kritična greška u SQL Serveru (CVE-2025-49719) izlaže osjetljive podatke zbog nepravilne validacije unosa.
2. Moguće ju je iskoristiti preko mreže, pogađajući SQL Server verzije od 2016. do 2022. bez potrebe za autentifikacijom.
3. Microsoft je izdao neophodne sigurnosne zakrpe, snažno se savjetuje hitno ažuriranje.
4. Napadači mogu pristupiti neinicijalizovanim memorijskim područjima, curenjem povjerljivih podataka iz baze.
Ranjivost utiče na više verzija SQL Servera, od 2016. do 2022. godine, a sigurnosna ažuriranja izdata su 8. jula 2025. godine kako bi se riješio ovaj značajan sigurnosni problem.
Ranljivost SQL Servera za otkrivanje informacija (CVE-2025-49719)
CVE-2025-49719 klasifikovana je prema CWE-20 kao nepravilna validacija unosa, što predstavlja fundamentalni propust u načinu na koji SQL Server obrađuje dolazne mrežne zahtjeve.
Ova ranjivost ima osnovni CVSS 3.1 rezultat od 7.5, sa vremenskim rezultatom 6.5, što je svrstava u kategoriju “Važne” po ozbiljnosti.
Tehnički propust omogućava napadačima da iskoriste nedovoljne rutine za validaciju unosa, potencijalno pristupajući neinicijalizovanim memorijskim regijama koje mogu sadržati osjetljive podatke iz baze, stringove za povezivanje ili druge povjerljive strukture podataka.
Karakteristike vektora napada ove ranjivosti čine je posebno zabrinjavajućom za korporativna okruženja.
CVSS vektor string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N ukazuje na mrežne napade niske složenosti, koji ne zahtijevaju privilegije ni interakciju korisnika.
Ova konfiguracija omogućava udaljenim napadačima da potencijalno izvuku osjetljive informacije iz SQL Server instanci izloženih mrežnom pristupu, čineći ih metom za automatizovane alate za eksploataciju i izviđačke aktivnosti.
Mehanizam eksploatacije koristi mrežne vektore napada koji ne zahtijevaju nikakve akreditive za autentifikaciju niti interakciju korisnika, značajno snižavajući barijeru za uspješne napade.
Napadači mogu kreirati zlonamjerne mrežne pakete usmjerene na rutine za validaciju unosa SQL Servera, potencijalno pokrećući otkrivanje neinicijalizovanih memorijskih sadržaja.
Mrežna dostupnost ranjivosti znači da svaka SQL Server instanca dostupna preko TCP/IP veza može biti podložna napadima otkrivanja informacija.
Procjena eksploatacije ukazuje da, iako je ranjivost javno objelodanjena, aktivna eksploatacija ostaje “manje vjerovatna” prema Microsoftovoj analizi.
Međutim, kombinacija mrežne dostupnosti i nepostojanja zahtjeva za autentifikacijom stvara značajnu površinu za napad za potencijalne aktere prijetnji.
Organizacije koje pokreću SQL Server u cloud okruženjima, posebno Windows Azure IaaS implementacije, suočavaju se s dodatnim rizicima izlaganja zbog šire površine za mrežne napade inherentne cloud infrastrukturi.
Faktori rizika:
* Pogođeni proizvodi: Microsoft SQL Server 2016, 2017, 2019, 2022 (sve podržane verzije; razne GDR/CU verzije)
* Uticaj: Otkrivanje informacija
* Pretpostavke za eksploataciju: Nije potrebna autentifikacija niti interakcija korisnika
* CVSS 3.1 rezultat: 7.5 (Visok)
Sanacija
Microsoft je objavio sveobuhvatna sigurnosna ažuriranja koja rješavaju CVE-2025-49719 u svim podržanim verzijama SQL Servera.
Strategija sanacije podrazumijeva primjenu ažuriranja specifičnih za verziju, uključujući pakete General Distribution Release (GDR) i Cumulative Update (CU).
Ključna ažuriranja uključuju KB 5058721 za SQL Server 2022 CU19+GDR (verzija 16.0.4200.1), KB 5058722 za SQL Server 2019 CU32+GDR (verzija 15.0.4435.7) i KB 5058714 za SQL Server 2017 CU31+GDR (verzija 14.0.3495.9).
Organizacije moraju dati prioritet hitnoj primjeni zakrpa, posebno za SQL Server instance izložene internetu.
Administratore baza podataka trebaju implementirati segmentaciju mreže i kontrole pristupa kao dodatne zaštitne mjere tokom koordinacije primjene ažuriranja u korporativnim okruženjima.