Microsoft publicó actualizaciones de seguridad para corregir una grave vulnerabilidad de inyección SQL (CWE-89) en SQL Server que permite la escalada de privilegios mediante la inyección de comandos T-SQL maliciosos en nombres de bases de datos. Esta falla afecta las versiones 2016, 2017, 2019 y 2022, y puede ser explotada remotamente sin requerir interacción del usuario, comprometiendo la confidencialidad, integridad y disponibilidad del sistema.
CVE y severidad
| CVE ID | Tipo de vulnerabilidad | CVSS Base | Vector de ataque | Complejidad del ataque | Privilegios requeridos | Interacción requerida | Severidad | Fecha de publicación | Versiones afectadas |
|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-59499 | Inyección SQL (CWE-89) | 8.8 (Alta) | Red | Baja | Bajo | Ninguna | Importante | 11 de noviembre de 2025 | SQL Server 2016, 2017, 2019, 2022 |
Productos afectados
Microsoft SQL Server en versiones 2016, 2017, 2019 y 2022 es susceptible a la vulnerabilidad de inyección SQL que permite escalada de privilegios mediante ejecución remota no interactiva.
Solución
Aplicar los parches de seguridad publicados por Microsoft para cada versión afectada disponibles en los canales GDR y Cumulative Update (CU).
Recomendaciones
Se recomienda priorizar la actualización inmediata de todas las instancias de SQL Server afectadas para mitigar riesgos. Además, se debe limitar la exposición de servidores a la red pública y monitorear actividades anómalas relacionadas con consultas a bases de datos.