شرکت Fortinet پچ امنیتی جدیدی برای آسیبپذیری SQL Injection در FortiWeb منتشر کرد.
1404/04/21
مایکروسافت اخیراً آسیبپذیری مهمی را در SQL Server شناسایی و اصلاح کرده که میتواند منجر به افشای اطلاعات حساس از طریق شبکه شود. این آسیبپذیری با شناسه CVE-2025-49719 و امتیاز CVSS: 7.5 در دستهبندی Information Disclosure قرار دارد و ناشی از اعتبارسنجی نادرست ورودی در SQL Server است. به گفته کارشناسان امنیتی، مهاجم میتواند بدون نیاز به احراز هویت یا تعامل با کاربر، دادههای موجود در حافظه مقداردهی نشده را از راه دور استخراج کند. این دادهها ممکن است شامل اطلاعات حساس مانند connection stringها یا ساختارهای داخلی دیتابیس باشند. این نقص نسخههای مختلف SQL Server از ۲۰۱۶ تا ۲۰۲۲ را تحت تأثیر قرار میدهد و از آنجا که از طریق شبکه و بدون نیاز به سطح دسترسی خاص قابل بهرهبرداری است، تهدید قابل توجهی برای محیطهای سازمانی، به ویژه در زیرساختهای ابری مانند Azure، محسوب میشود.
مایکروسافت برای نسخههای تحت تأثیر، به روزرسانیهای امنیتی ضروری را منتشر کرده است که شامل بستههای GDR و CU میشود. کاربران باید هرچه سریعتر نسبت به نصب پچهای مربوط به نسخه SQL Server خود اقدام کنند. نسخههای اصلاح شده عبارتاند از:
- SQL Server 2022: بهروزرسانی KB5058721
- SQL Server 2019: بهروزرسانی KB5058722
SQL Server 2017: بهروزرسانی KB5058714
| Risk Factors | Details |
|---|---|
| Affected Products | Microsoft SQL Server نسخههای ۲۰۱۶، ۲۰۱۷، ۲۰۱۹، ۲۰۲۲ (تمام نسخههای پشتیبانیشده؛ شامل نسخههای GDR وCU) |
| Impact | افشای اطلاعات (Information Disclosure) |
| Exploit Prerequisites | بدون نیاز به احراز هویت یا تعامل کاربر |
| CVSS 3.1 Score | ۷٫۵ (بالا) |
به مدیران سیستمها و پایگاه دادهها توصیه میشود ضمن اجرای این بهروزرسانیها، تدابیر مکملی مانند تقسیمبندی شبکه و محدودسازی دسترسیها را نیز برای کاهش سطح حمله و افزایش امنیت پیاده سازی کنند.
با توجه به قابلیت بهرهبرداری آسان از این آسیبپذیری و سطح دسترسی گسترده آن از طریق شبکه، سازمانها باید بدون تأخیر نسبت به بهروزرسانی و ایمنسازی سرورهای SQL خود اقدام نمایند.
منبع: cybersecuritynews.com
