Microsoft, SQL Server’da saldırganların daha yüksek sistem ayrıcalıkları elde etmesine olanak tanıyan ciddi bir güvenlik açığını gidermek için güvenlik güncelleştirmeleri yayımladı.
CVE-2025-59499 olarak takip edilen kusur 11 Kasım 2025’te açıklandı ve SQL Server 2016, 2017, 2019 ve 2022 dahil birden fazla sürümü etkiliyor.
Bu güvenlik açığı, SQL komutlarındaki özel karakterlerin hatalı işlenmesinden kaynaklanıyor ve veritabanı güvenliğini tehlikeye atabilecek SQL enjeksiyon saldırılarına açık bir ortam yaratıyor.
Güvenlik açığı, CVSS puanı 8,8 olup, sistem yöneticilerinin derhal ilgilenmesini gerektiren yüksek önemde bir sorun olarak işaretlenmektedir.
Düşük düzeyde erişime sahip bir saldırgan, herhangi bir kullanıcı etkileşimi olmadan ağ üzerinden bu kusurdan yararlanabilir ve bu durum, açıktaki veritabanı sunucuları için durumu özellikle tehlikeli hale getirir.
Sorun, SQL Server sistemlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkileyerek hassas verilere ve sistem kontrollerine yetkisiz erişime izin verme potansiyeline sahiptir.
Microsoft güvenlik araştırmacıları bu güvenlik açığını CWE-89 altında sınıflandırılan bir SQL enjeksiyon zayıflığı olarak tanımladılar.
Bu kusur, sınırlı ayrıcalıklara sahip yetkili kullanıcıların, özel hazırlanmış veritabanı adları aracılığıyla kötü amaçlı T-SQL komutları eklemesine olanak tanıyor.
Başarılı bir şekilde istismar edildiğinde, saldırganlar yükseltilmiş izinlerle rastgele komutlar yürütebilir ve potansiyel olarak veritabanı sistemi üzerinde tam kontrol elde edebilir.
Saldırı Mekanizması
Güvenlik açığı, SQL Server’ın sorgulardaki veritabanı adlarını işleme biçiminden yararlanılarak çalışıyor. Saldırganlar, sunucu tarafından uygun şekilde temizlenmemiş özel SQL karakterleri içeren kötü amaçlı veritabanı adları oluşturabilir.
Bu hazırlanmış adlar işlendiğinde, enjekte edilen T-SQL komutları, sorguyu çalıştıran işlemin ayrıcalıklarıyla yürütülür.
İşlem sistem yöneticisi ayrıcalıklarıyla çalışıyorsa, saldırgan SQL Server örneğinin tamamı üzerinde tam yönetim kontrolü elde ederek herhangi bir veriyi okumasına, değiştirmesine veya silmesine, yeni hesaplar oluşturmasına veya sistem düzeyinde komutlar yürütmesine olanak tanır.
Güvenlik Açığı Ayrıntıları: –
| Mülk | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-59499 |
| Güvenlik Açığı Türü | SQL Enjeksiyonu (CWE-89) |
| CVSS Puanı | 8,8 (Yüksek) |
| Saldırı Vektörü | Ağ |
| Saldırı Karmaşıklığı | Düşük |
| Gerekli Ayrıcalıklar | Düşük |
| Kullanıcı Etkileşimi | Hiçbiri |
| Şiddet | Önemli |
| Kamuya Açıklandı | HAYIR |
| Vahşi Doğada İstismar Edildi | HAYIR |
| Yayın tarihi | 11 Kasım 2025 |
| Etkilenen Sürümler | SQL Sunucusu 2016, 2017, 2019, 2022 |
Microsoft, etkilenen tüm sürümler için hem Genel Dağıtım Sürümü (GDR) hem de Toplu Güncelleştirme (CU) kanalları aracılığıyla güvenlik düzeltme ekleri yayımladı.
Yöneticiler, sistemlerini potansiyel istismardan korumak için mevcut SQL Server sürümüne ve güncelleme yoluna göre uygun güncellemeleri hemen uygulamalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
