Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας στις 13 Ιανουαρίου 2026, αντιμετωπίζοντας μια κρίσιμη αύξηση της ευπάθειας των προνομίων στον SQL Server που επιτρέπει στους εξουσιοδοτημένους εισβολείς να παρακάμπτουν τα στοιχεία ελέγχου ελέγχου ταυτότητας και να αποκτούν αυξημένα δικαιώματα συστήματος εξ αποστάσεως.
Παρακολούθηση ως CVE-2026-20803, η ευπάθεια προέρχεται από την έλλειψη μηχανισμών ελέγχου ταυτότητας για κρίσιμες λειτουργίες εντός του μηχανισμού βάσης δεδομένων.
Το ελάττωμα επηρεάζει πολλές εκδόσεις του SQL Server, συμπεριλαμβανομένου του SQL Server 2022 και του SQL Server 2025 που κυκλοφόρησε πρόσφατα. Με βαθμολογία CVSS 7,2, η Microsoft ταξινόμησε την ευπάθεια ως “Σημαντική” σοβαρότητα.
Η επίθεση απαιτεί υψηλά προνόμια και πρόσβαση στο δίκτυο, αλλά μετά την εκμετάλλευση, παρέχει στους εισβολείς δυνατότητες υψηλού αντίκτυπου, συμπεριλαμβανομένης της πρόσβασης απόρριψης μνήμης και εντοπισμού σφαλμάτων, ανοίγοντας πιθανώς πύλες για περαιτέρω συμβιβασμό του συστήματος.
| Αναγνωριστικό CVE | Αυστηρότητα | Βαθμολογία CVSS | Διάνυσμα επίθεσης |
|---|---|---|---|
| CVE-2026-20803 | Σπουδαίος | 7.2 | Δίκτυο |
Λεπτομέρειες ευπάθειας και αντίκτυπος
Το CVE-2026-20803 εκμεταλλεύεται το CWE-306, μια αδυναμία που συνεπάγεται έλλειψη ελέγχου ταυτότητας για κρίσιμες λειτουργίες.
Η ευπάθεια επιτρέπει στους επαληθευμένους χρήστες με αυξημένα δικαιώματα να κλιμακώσουν την πρόσβασή τους πέρα από τα επιδιωκόμενα όρια χωρίς αλληλεπίδραση με τον χρήστη.
Ένας εισβολέας που εκμεταλλεύεται επιτυχώς αυτό το ελάττωμα θα μπορούσε να αποκτήσει δικαιώματα εντοπισμού σφαλμάτων, να απορρίψει ευαίσθητα περιεχόμενα μνήμης και ενδεχομένως να αποκτήσει πρόσβαση σε κρυπτογραφημένα δεδομένα ή να εξαγάγει διαπιστευτήρια βάσης δεδομένων που είναι αποθηκευμένα στη μνήμη.
Η ευπάθεια έλαβε μια αξιολόγηση «λιγότερο πιθανή» εκμεταλλευσιμότητας κατά τη δημοσίευση, υποδεικνύοντας ότι απαιτεί συγκεκριμένες προϋποθέσεις και είναι απίθανο να αξιοποιηθεί ευρέως στο άμεσο μέλλον.
Ωστόσο, η Microsoft δεν έχει αποκαλύψει αναφορές για ενεργή εκμετάλλευση ή προσπάθειες δημόσιας αποκάλυψης.
Η Microsoft παρείχε ενημερώσεις ασφαλείας σε όλες τις επηρεαζόμενες εκδόσεις του SQL Server μέσω των διαδρομών γενικής έκδοσης διανομής (GDR) και αθροιστικής ενημέρωσης (CU).
Οι οργανισμοί που εκτελούν τον SQL Server 2022 θα πρέπει να εφαρμόζουν ενημερώσεις είτε CU22 (build 16.0.4230.2) είτε RTM GDR (build 16.0.1165.1). Οι χρήστες του SQL Server 2025 πρέπει να εγκαταστήσουν την ενημέρωση του Ιανουαρίου GDR (κατασκευή 17.0.1050.2).
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στα συστήματα ενημέρωσης κώδικα σε περιβάλλοντα που αντιμετωπίζουν το Διαδίκτυο ή σε εκείνα που χειρίζονται ευαίσθητα δεδομένα.
Microsoft συνιστά επανεξέταση των αρχιτεκτονικών ανάπτυξης και περιορισμός της πρόσβασης διαχειριστή για την ελαχιστοποίηση του κινδύνου εκμετάλλευσης κατά τη διάρκεια των παραθύρων ενημέρωσης.
