SQL Server 2025年11月更新 - 修复 CVE-2025-59499 Microsoft SQL Server 特权提升漏洞
Microsoft SQL Server 下载汇总
SQL Server GDR 和 CU 更新汇总
请访问原文链接:https://sysin.org/blog/sql-server/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
Microsoft SQL Server 特权提升漏洞 New
CVE-2025-59499
Security Vulnerability
发行版: 2025年11月11日
Assigning CNA:Microsoft
CVE.org link:CVE-2025-59499
影响:特权提升
最高严重性:重要
Weakness:CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CVSS Source:Microsoft
字符串向量:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:CMetrics:CVSS:3.1 8.8 / 7.7
请参阅通用漏洞评分系统,以获取有关这些指标定义的更多信息。
利用
下表为此漏洞提供初始发布时的可利用性评估。
Publicly disclosed:No
Exploited:No
Exploitability assessment:不太可能利用
常见问题
攻击者如何利用该漏洞进行攻击?
攻击者可以通过制作恶意数据库名称来注入任意 T-SQL 命令。
成功利用该漏洞的攻击者可以获得哪些特权?
成功利用此漏洞的攻击者可以获得运行查询的进程的权限。例如,如果运行包含 SQL 注入的查询的进程是 sysadmin 进程,那么攻击者就能获得 sysadmin 特权。
我在系统上运行 SQL Server,需要采取什么措施?
请更新与你所使用版本相对应的 SQL Server。所有相关驱动程序修复都包含在这些更新中。
我的 SQL Server 版本提供了 GDR 和/或 CU(累积更新)更新。我该如何选择安装哪一个?
- 首先,确定你的 SQL Server 版本号。有关如何确定 SQL Server 的版本、版本类型和更新级别的详细信息,请参阅 Microsoft 知识库文章 321185 ——《如何确定 SQL Server 及其组件的版本、版本类型和更新级别》。
- 其次,在下表中查找与你的版本号相符或位于相应版本范围内的项。对应的更新就是你需要安装的版本。
注意
如果你的 SQL Server 版本号未出现在下表中,说明该版本已不再受支持。请升级到最新的服务包或 SQL Server 产品,以便应用此更新和今后的安全更新。
| Update Number | Title | Version | Apply if current product version is… | This security update also includes servicing releases up through… |
|---|---|---|---|---|
| 5068406 | Security update for SQL Server 2022 CU21+GDR | 16.0.4222.2 | 16.0.4003.1 - 16.0.4215.2 | KB 5065865 - SQL2022 RTM CU21 |
| 5068407 | Security update for SQL Server 2022 RTM+GDR | 16.0.1160.1 | 16.0.1000.6 - 16.0.1150.1 | KB 5065221 - Previous SQL2022 RTM GDR |
| 5068404 | Security update for SQL Server 2019 CU32+GDR | 15.0.4455.2 | 15.0.4003.23 - 15.0.4445.1 | KB 5065222 - Previous SQL2019 RTM CU32 GDR |
| 5068405 | Security update for SQL Server 2019 RTM+GDR | 15.0.2155.2 | 15.0.2000.5 - 15.0.2145.1 | KB 5065223 - Previous SQL2019 RTM GDR |
| 5068402 | Security update for SQL Server 2017 CU31+GDR | 14.0.3515.1 | 14.0.3006.16 - 14.0.3505.1 | KB 5065225 - Previous SQL2017 RTM CU31 GDR |
| 5068403 | Security update for SQL Server 2017 RTM+GDR | 14.0.2095.1 | 14.0.1000.169 - 14.0.2085.1 | KB 5065224 - Previous SQL2017 RTM GDR |
| 5068400 | Security update for SQL 2016 Azure Connect Feature Pack+GDR | 13.0.7070.1 | 13.0.7000.253 - 13.0.7065.1 | KB 5065227 - Previous SQL2016 Azure Connect Feature Pack GDR |
| 5068401 | Security update for SQL Server 2016 SP3 RTM+GDR | 13.0.6475.1 | 13.0.6300.2 - 13.0.6470.1 | KB 5065226 - Previous SQL2016 RTM GDR |
什么是 GDR 和 CU 更新名称,两者有何差别?
GDR(General Distribution Release,普通分发版本)和 CU(Cumulative Update,累积更新)对应于两种不同的可用于 SQL Server 基线版本的服务选项。基线可以是 RTM 版本或 Service Pack 版本。
- GDR 更新 – 累积仅包含适用于给定基线的安全更新。
- CU 更新 – 累积包含适用于给定基线的所有功能修复程序和安全更新。
对于任何给定基线,GDR 或 CU 更新均为可选项(见下文)。
- 如果 SQL Server 安装了基线版本,则可以选择 GDR 或 CU 更新。
- 如果 SQL Server 安装有意只安装了过去的 GDR 更新,则选择安装 GDR 更新包。
- 如果 SQL Server 安装有意只安装了以前的 CU 更新,则选择安装 CU 安全更新包。
注意:您仅有一次机会可以将 GDR 更新更改为 CU 更新。一旦 SQL Server CU 更新应用于 SQL Server 安装,将无法返回到 GDR 更新路径。
安全更新是否可以应用于 Windows Azure (IaaS) 上的 SQL Server 实例?
是的。可通过 Microsoft Update 为 Windows Azure (IaaS) 上的 SQL Server 实例提供安全更新,或者客户可从 Microsoft 下载中心下载安全更新并手动安装它们。
下载链接
Microsoft SQL Server
- SQL Server Management Studio (SSMS) 22 - 微软数据库管理工具
- SQL Server 2025 - 从本地到云端的 AI 就绪企业数据库
- Microsoft SQL Server 2022 RTM GDR & CU20 (2025 年 11 月安全更新)
- Microsoft SQL Server 2019 RTM GDR & CU32 (2025 年 11 月安全更新)
- Microsoft SQL Server 2017 RTM GDR & CU31 (2025 年 11 月安全更新)
- Microsoft SQL Server 2016 with SP3 GDR (2025 年 11 月安全更新)
更多:Windows 下载汇总
