Hack Alerta

Falha de SQL Server (CVE-2025-59499) permite escalonamento de privilégios — patch disponível

Por Redação Hack Alerta Publicado em 13/11/2025 06:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2025-59499, com CVSS 8.8, permite injeção via nomes de banco no SQL Server (2016/2017/2019/2022) e escalonamento de privilégios; a Microsoft liberou patches pelos canais GDR e CU e administradores devem aplicar atualizações imediatamente.

Microsoft corrigiu uma vulnerabilidade séria no SQL Server que permite a elevação de privilégios por meio de injeção SQL em nomes de bancos de dados, afetando versões amplamente usadas e exigindo aplicação imediata de atualizações.

Panorama e cronologia

O problema, rastreado como CVE-2025-59499 (CVSS 8.8), foi divulgado em 11 de novembro de 2025. As fontes indicam que as versões afetadas incluem SQL Server 2016, 2017, 2019 e 2022. A Microsoft publicou atualizações tanto pelos canais GDR quanto CU.

Vetor e técnica de exploração

Segundo o boletim, a falha decorre do tratamento inadequado de caracteres especiais em comandos SQL, permitindo que nomes de bancos de dados especialmente fabricados contenham payloads que são interpretados como T-SQL quando processados. Um usuário com privilégios limitados pode, portanto, injetar comandos que serão executados com os privilégios do processo que roda a consulta.

Quando o processo for executado com privilégios de sysadmin, a exploração resulta em controle total da instância SQL Server — leitura, modificação ou exclusão de dados, criação de contas e execução de comandos de sistema.

Impacto e exposição

  • CVE: CVE-2025-59499
  • CVSS: 8.8 (High)
  • Vulnerabilidades afetam: SQL Server 2016, 2017, 2019 e 2022
  • Vetor: rede; Complexidade: baixa; Privilégios necessários: baixos; Interação do usuário: nenhuma

Essas características tornam a falha particularmente perigosa em servidores de banco de dados expostos à rede ou em ambientes onde processos rodam com privilégios elevados.

Mitigação e recomendações

A Microsoft disponibilizou patches e recomenda-se que administradores apliquem imediatamente as atualizações apropriadas por meio dos canais GDR ou CU correspondentes à versão em uso. Além da aplicação do patch, as organizações devem:

  • Rever quem tem permissão para criar/gerenciar nomes de bancos de dados;
  • Isolar instâncias SQL expostas à internet ou colocá-las atrás de controles de acesso estritos;
  • Auditar processos que rodem com privilégios de sistema para reduzir a superfície de ataque;
  • Executar varreduras e testes de penetração focados em manipulação de nomes de objeto no banco.

O que sabemos e limites

As fontes informam que a vulnerabilidade foi identificada por pesquisadores da Microsoft e que, no momento da divulgação, não há indicação pública de exploração em massa. As informações também apontam que a falha foi classificada como SQL injection (CWE-89). Fontes não afirmam a existência de exploits públicos ou uso ativo em ataques direcionados.

Prioridade operacional

Administradores devem priorizar aplicação dos patches em ambientes de produção e testá-los em ambientes de staging antes de rollout amplo. Para instâncias que não podem ser atualizadas imediatamente, recomenda-se restringir o acesso de rede e revisar privilégios de serviço até que a correção seja aplicada.

Baseado em publicação original de Cyber Security News
Tags: #microsoft #sql-server #cve-2025-59499 #sql-injection #cwe-89 #patch #privilege-escalation #gdr #cu
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar