吳明宜微軟修補SQL Server重大漏洞CVE-2025-49719,攻擊者可無需驗證即擷取記憶體中敏感資料,已出現濫用行為。
微軟本周修補了 SQL Server 一項可讓未授權攻擊者經由網路連線存取敏感資料的漏洞,而且已經存在濫用行為。
這項漏洞是 CVE-2025-49719,源自 SQL Server 對輸入驗證不當,讓攻擊者不需驗證和使用者互動即可洩露未初始化的記憶體內容,可能包含敏感資料庫資訊、連線字串或其他資料結構。 CVSS 3.1 基礎風險值 7.5,列為「重要」嚴重性。
由於 CVE-2025-49719 攻擊者不需要驗證與使用者互動,意謂網路層攻擊複雜度低。能經由 TCP/IP 連線存取的 SQL Server 執行個體,都能透過本漏洞為遠端攻擊者擷取出資料,是自動化濫用工具及偵察 (reconnaissance) 活動最喜愛的目標。在攻擊手法上,攻擊者可針對 SQL Server 輸入驗證流程,製作惡意網路封包來觸發本漏洞,導致未初始化的記體內容洩露。
微軟分析,本漏洞雖然已經公開,但積極濫用可能性較低。不過,反過來說,結合網路可近性和不需驗證的特性,讓 CVE-2025-49719 創造不可小覷的攻擊表面。因此,基於雲端基礎架構的網路表面更大之故,在雲端環境,特別是 Windows Azure IaaS 上執行 SQL Server 的組織將面臨更大風險。
微軟已經在七月 Patch Tuesday 釋出更新版解決包括 CVE-2025-49719 在內的 130 項漏洞。 SQL Server 用戶應儘速安裝適用的更新,包括通用分發版本 (General Distribution Release, GDR) 和累積更新 (Cumulative Update, CU) 。