Microsoft SQL Server - CVE-2026-21262

Date de publication :

Il s’agit d’une vulnérabilité dans le contrôle d’accès de SQL Server.

Microsoft SQL Server est un système de gestion de base de données relationnelle utilisé pour héberger, traiter et sécuriser des données applicatives, analytiques et transactionnelles sur des serveurs d’entreprise.

Un attaquant authentifié disposant d’autorisations explicites sur une instance vulnérable peut, après connexion via le réseau et sans interaction utilisateur, exploiter ce défaut pour obtenir des privilèges SQL Server sysadmin.

CVE-2026-21262

[Score CVSS v3.1 : 8.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-284 : Improper Access Control

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   SQL Server 2025 versions 17.0.1000.7 jusqu’à 17.0.1050.2
•   SQL Server 2025 versions 17.0.4006.2 jusqu’à 17.0.4015.4
•   SQL Server 2022 versions 16.0.1000.6 jusqu’à 16.0.1165.1
•   SQL Server 2022 versions 16.0.4003.1 jusqu’à 16.0.4236.2
•   SQL Server 2019 versions 15.0.2000.5 jusqu’à 15.0.2155.2
•   SQL Server 2019 versions 15.0.4003.23 jusqu’à 15.0.4455.2
•   SQL Server 2017 versions 14.0.1000.169 jusqu’à 14.0.2095.1
•   SQL Server 2017 versions 14.0.3006.16 jusqu’à 14.0.3515.1
•   SQL Server 2016 Azure Connect Feature Pack versions 13.0.7000.253 jusqu’à 13.0.7070.1
•   SQL Server 2016 SP3 versions 13.0.6300.2 jusqu’à 13.0.6475.1

Solutions ou recommandations

•   SQL Server 2025 versions 17.0.1105.2 et supérieures sur la branche RTM+GDR
•   SQL Server 2025 versions 17.0.4020.2 et supérieures sur la branche CU2+GDR
•   SQL Server 2022 versions 16.0.1170.5 et supérieures sur la branche RTM+GDR
•   SQL Server 2022 versions 16.0.4240.4 et supérieures sur la branche CU23+GDR
•   SQL Server 2019 versions 15.0.2160.4 et supérieures sur la branche RTM+GDR
•   SQL Server 2019 versions 15.0.4460.4 et supérieures sur la branche CU32+GDR
•   SQL Server 2017 versions 14.0.2100.4 et supérieures sur la branche RTM+GDR
•   SQL Server 2017 versions 14.0.3520.4 et supérieures sur la branche CU31+GDR
•   SQL Server 2016 Azure Connect Feature Pack versions 13.0.7075.5 et supérieures
•   SQL Server 2016 SP3 versions 13.0.6480.4 et supérieures

Liens