文章总结： 微软披露SQLServer严重零日漏洞CVE-2026-21262，源于不当访问控制，允许认证攻击者网络提权至sysadmin级别，全面影响数据机密性、完整性与可用性。该漏洞CVSS评分8.8，影响2016至2025版本，虽尚未被利用但已公开。微软已发布安全更新，建议管理员立即应用相应补丁，审核用户权限并监控异常活动以防范风险。 综合评分： 80 文章分类： 漏洞预警,数据安全,应用安全

微软 SQL Server 零日漏洞允许攻击者提升权限

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月11日 12:20 北京

微软披露了 SQL Server 中的一个严重零日漏洞，该漏洞允许经过身份验证的攻击者将其权限提升到受影响数据库系统上的最高管理级别。

该漏洞编号为 CVE-2026-21262，于 2026 年 3 月 10 日正式发布，并已公开披露，这引起了在企业环境中运行 SQL Server 的组织的紧急担忧。

该漏洞源于Microsoft SQL Server 中不正确的访问控制 (CWE-284) ，使得授权攻击者能够通过网络提升权限。

根据微软的建议，成功利用此漏洞的攻击者可以获得 SQL sysadmin 权限，这是 SQL Server 环境中的最高访问权限，从而完全控制数据库实例。

该漏洞的 CVSS v3.1 基本评分为 8.8，严重程度为“重要”。该攻击向量基于网络，复杂度较低，仅需低级权限即可发起，且无需用户交互。

该漏洞的影响涵盖了所有三个关键的安全维度：机密性、完整性和可用性，这三个维度都被评为“高”，这使得该漏洞在数据敏感环境中尤其危险。

微软 SQL Server 零日漏洞

微软已确认该漏洞已公开披露，但尚未被实际利用，其可利用性评估为“利用可能性较低”。然而，该漏洞的公开披露显著降低了攻击者开发有效攻击程序的门槛。

具有明确权限的已认证攻击者可以通过登录 SQL Server 实例并利用不正确的访问控制缺陷来利用此漏洞，从而将其会话提升到系统管理员级别。

这种权限提升攻击在多租户或共享数据库环境中尤其危险，因为低权限用户可能已经拥有合法访问权限。

微软发布了涵盖 SQL Server 2016 至最新发布的 SQL Server 2025 的安全更新。管理员应确定其当前版本，并应用相应的全局更新 (GDR) 或累积更新 (CU) 补丁。主要更新包括：

• SQL Server 2025：KB 更新 5077466 (CU2+GDR) 和 5077468 (RTM+GDR)
• SQL Server 2022：KB 更新 5077464 (CU23+GDR) 和 5077465 (RTM+GDR)
• SQL Server 2019：KB 更新 5077469 (CU32+GDR) 和 5077470 (RTM+GDR)
• SQL Server 2017：知识库更新 5077471 和 5077472
• SQL Server 2016：知识库更新 5077473 和 5077474

托管在 Windows Azure (IaaS) 上的 SQL Server 实例可以通过 Microsoft Update 接收更新，也可以通过从 Microsoft 下载中心手动下载来接收更新。

鉴于此漏洞已公开披露，安全团队应立即优先进行修补。各组织应审核 SQL Server 用户权限，仅允许受信任帐户授予显式权限，并监控数据库日志中是否存在异常的权限提升活动。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软 SQL Server 零日漏洞允许攻击者提升权限》