Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας στις 13 Ιανουαρίου 2026, αντιμετωπίζοντας μια κρίσιμη αύξηση της ευπάθειας των προνομίων στον SQL Server που επιτρέπει στους εξουσιοδοτημένους εισβολείς να παρακάμπτουν τα στοιχεία ελέγχου ελέγχου ταυτότητας και να αποκτούν αυξημένα δικαιώματα συστήματος εξ αποστάσεως.
Παρακολούθηση ως CVE-2026-20803, η ευπάθεια προέρχεται από την έλλειψη μηχανισμών ελέγχου ταυτότητας για κρίσιμες λειτουργίες εντός του μηχανισμού βάσης δεδομένων.
Το ελάττωμα επηρεάζει πολλές εκδόσεις του SQL Server, συμπεριλαμβανομένου του SQL Server 2022 και του SQL Server 2025 που κυκλοφόρησε πρόσφατα. Με βαθμολογία CVSS 7,2, η Microsoft ταξινόμησε την ευπάθεια ως “Σημαντική” σοβαρότητα.
Η επίθεση απαιτεί υψηλά προνόμια και πρόσβαση στο δίκτυο, αλλά μετά την εκμετάλλευση, παρέχει στους εισβολείς δυνατότητες υψηλού αντίκτυπου, συμπεριλαμβανομένης της πρόσβασης απόρριψης μνήμης και εντοπισμού σφαλμάτων, ανοίγοντας πιθανώς πύλες για περαιτέρω συμβιβασμό του συστήματος.
| Αναγνωριστικό CVE | Αυστηρότητα | Βαθμολογία CVSS | Διάνυσμα επίθεσης |
|---|---|---|---|
| CVE-2026-20803 | Σπουδαίος | 7.2 | Δίκτυο |
Το CVE-2026-20803 εκμεταλλεύεται το CWE-306, μια αδυναμία που συνεπάγεται έλλειψη ελέγχου ταυτότητας για κρίσιμες λειτουργίες.
Η ευπάθεια επιτρέπει στους επαληθευμένους χρήστες με αυξημένα δικαιώματα να κλιμακώσουν την πρόσβασή τους πέρα από τα επιδιωκόμενα όρια χωρίς αλληλεπίδραση με τον χρήστη.
Ένας εισβολέας που εκμεταλλεύεται επιτυχώς αυτό το ελάττωμα θα μπορούσε να αποκτήσει δικαιώματα εντοπισμού σφαλμάτων, να απορρίψει ευαίσθητα περιεχόμενα μνήμης και ενδεχομένως να αποκτήσει πρόσβαση σε κρυπτογραφημένα δεδομένα ή να εξαγάγει διαπιστευτήρια βάσης δεδομένων που είναι αποθηκευμένα στη μνήμη.
Η ευπάθεια έλαβε μια αξιολόγηση «λιγότερο πιθανή» εκμεταλλευσιμότητας κατά τη δημοσίευση, υποδεικνύοντας ότι απαιτεί συγκεκριμένες προϋποθέσεις και είναι απίθανο να αξιοποιηθεί ευρέως στο άμεσο μέλλον.
Ωστόσο, η Microsoft δεν έχει αποκαλύψει αναφορές για ενεργή εκμετάλλευση ή προσπάθειες δημόσιας αποκάλυψης.
Η Microsoft παρείχε ενημερώσεις ασφαλείας σε όλες τις επηρεαζόμενες εκδόσεις του SQL Server μέσω των διαδρομών γενικής έκδοσης διανομής (GDR) και αθροιστικής ενημέρωσης (CU).
Οι οργανισμοί που εκτελούν τον SQL Server 2022 θα πρέπει να εφαρμόζουν ενημερώσεις είτε CU22 (build 16.0.4230.2) είτε RTM GDR (build 16.0.1165.1). Οι χρήστες του SQL Server 2025 πρέπει να εγκαταστήσουν την ενημέρωση του Ιανουαρίου GDR (κατασκευή 17.0.1050.2).
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στα συστήματα ενημέρωσης κώδικα σε περιβάλλοντα που αντιμετωπίζουν το Διαδίκτυο ή σε εκείνα που χειρίζονται ευαίσθητα δεδομένα.
Microsoft συνιστά επανεξέταση των αρχιτεκτονικών ανάπτυξης και περιορισμός της πρόσβασης διαχειριστή για την ελαχιστοποίηση του κινδύνου εκμετάλλευσης κατά τη διάρκεια των παραθύρων ενημέρωσης.
Οι εταιρείες ημιαγωγών στη Μαλαισία παρακολουθούν στενά τους κινδύνους που ενδέχεται να προκύψουν από πιθανές…
Όσο κι αν προσπαθούμε να το αρνηθούμε, η άσκηση είναι προφανώς πολύ, πολύ καλή για…
Η ευρωπαϊκή μάχη για την Τεχνητή Νοημοσύνη και την αγορά των ΑΙ chips περνά πλέον…
Μια ιδιαίτερα ενδιαφέρουσα έρευνα δημοσιεύθηκε στο περιοδικό Science και προκύπτει από μελέτη ερευνητών του Πανεπιστημίου…
Ο Διευθύνων Σύμβουλος της Xiaomi, Lei Jun, ανακοίνωσε ότι το ιδιόκτητο της εταιρείας 2200MPa Super…
Η IDEAL Software Solutions, θυγατρική της Byte, ανακοινώνει το λανσάρισμα της DocGen Platform. Πρόκειται για μια σύγχρονη λύση αυτοματοποιημένης δημιουργίας, διαχείρισης και διανομής επιχειρησιακών…
