文章总结： 微软修复SQLServer因缺失身份验证机制导致的高权限本地用户可远程提升权限至调试与内存转储级别的漏洞CVE-2026-20803，CVSS7.2，影响2022/2025版，需尽快安装CU22或2026-01GDR并限制管理员访问以降低利用风险。 综合评分： 92 文章分类： 漏洞预警,数据安全,安全建设,解决方案,网络安全

Microsoft SQL Server 存在允许攻击者通过网络提升权限漏洞

网安百色

2026年1月15日 19:47 广西

微软于2026年1月13日发布安全更新，修复SQL Server中的一个关键权限提升漏洞。该漏洞允许已授权的攻击者绕过身份验证控制，远程获取更高的系统权限。

该漏洞被追踪为CVE-2026-20803，其根本原因是数据库引擎关键功能缺少身份验证机制。漏洞影响多个SQL Server版本，包括SQL Server 2022和最新发布的SQL Server 2025。该漏洞CVSS评分为7.2，微软将其严重等级定为”Important”。

攻击需具备高权限账户和网络访问权限，但一旦利用成功，攻击者可获得内存转储、调试访问等高危能力，可能进一步导致系统被完全控制。

| CVE编号 | 严重等级 | CVSS评分 | 攻击向量 | | — | — | — | — | | CVE-2026-20803 | Important | 7.2 | 网络 |

漏洞细节与影响

CVE-2026-20803利用了CWE-306（关键功能缺失身份验证）漏洞，允许具备高权限的认证用户突破权限边界。攻击者可借此获取调试权限、转储敏感内存内容，甚至访问加密数据或内存中的数据库凭证。

漏洞发布时被评估为”较低可能性”被利用，因其需要特定前置条件，短期内大规模利用的可能性较低。微软目前未收到在野利用报告或公开披露尝试。

微软通过常规分发版（GDR）和累积更新（CU）路径为受影响的SQL Server版本提供安全更新。运行SQL Server 2022的组织应安装CU22（版本16.0.4230.2）或RTM GDR（版本16.0.1165.1）。SQL Server 2025用户需安装2026年1月GDR更新（版本17.0.1050.2）。

建议优先修补面向公网的系统或处理敏感数据的系统。微软建议审查部署架构并限制管理员访问权限，以在更新窗口期间降低利用风险。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《Microsoft SQL Server 存在允许攻击者通过网络提升权限漏洞》