Publié le 15 janvier 2026. Microsoft a publié un correctif de sécurité urgent pour SQL Server, son moteur de base de données, afin de contrer une vulnérabilité permettant à des utilisateurs autorisés de contourner l’authentification et d’accéder à des privilèges système élevés à distance.
- Une vulnérabilité critique a été identifiée dans SQL Server, affectant les versions 2022 et 2025.
- L’exploitation de cette faille pourrait permettre à des attaquants de prendre le contrôle de systèmes et d’accéder à des données sensibles.
- Microsoft a mis à disposition des correctifs et recommande aux entreprises de les appliquer rapidement, en particulier pour les systèmes exposés à Internet.
La vulnérabilité, référencée sous l’identifiant CVE-2026-20803, découle d’un manque de vérification des identifiants pour certaines fonctions essentielles du moteur de base de données. Microsoft la classe comme « importante » avec un score CVSS de 7,2 sur 10, indiquant un risque significatif.
Selon Microsoft, un attaquant exploitant cette faille doit déjà disposer de certains droits d’accès et d’une connectivité réseau. Une fois l’exploitation réussie, l’attaquant peut accéder à des fonctionnalités de débogage et à des vidages mémoire, ouvrant la voie à des compromissions plus profondes du système. La classification technique de la vulnérabilité est basée sur le standard CWE-306, qui concerne l’absence d’authentification pour les fonctions critiques.
Pour l’heure, Microsoft estime que la probabilité d’exploitation à grande échelle est faible. L’entreprise n’a pas non plus reçu de signalement d’attaques actives ciblant cette vulnérabilité. Cependant, elle insiste sur l’importance d’une application rapide des correctifs, en particulier pour les systèmes connectés à Internet ou traitant des informations confidentielles.
Les utilisateurs de SQL Server 2022 peuvent choisir entre la mise à jour cumulative 22 (Build 16.0.4230.2) ou la mise à jour RTM GDR (Build 16.0.1165.1). Pour SQL Server 2025, la mise à jour GDR de janvier (Build 17.0.1050.2) est disponible. Les correctifs sont déployés via les canaux de distribution générale (GDR) et de mise à jour cumulative (CU).
Microsoft recommande aux administrateurs de réévaluer leurs architectures de déploiement et de restreindre les droits d’accès administratifs afin de minimiser les risques d’exploitation pendant la période d’application des correctifs. Une gestion rigoureuse des privilèges et une surveillance attentive des systèmes sont également conseillées.
