-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Microsoft SQL Server
Advisory ID     : NCSC-2025-0247
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-24999, CVE-2025-47954, CVE-2025-49758,
                  CVE-2025-49759, CVE-2025-53727
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Access Control
                  Improper Neutralization of Special Elements used in an
                  SQL Command ('SQL Injection')
                  Improper Privilege Management
Uitgiftedatum   : 20250813
Toepassing      : Microsoft Microsoft SQL Server 2016 Service Pack 3
                  (GDR)
                  Microsoft Microsoft SQL Server 2016 Service Pack 3
                  Azure Connect Feature Pack
                  Microsoft Microsoft SQL Server 2016 for x64-based
                  Systems Service Pack 3 (GDR)
                  Microsoft Microsoft SQL Server 2017 (CU 31)
                  Microsoft Microsoft SQL Server 2017 (GDR)
                  Microsoft Microsoft SQL Server 2017 for x64-based
                  Systems (CU 31)
                  Microsoft Microsoft SQL Server 2017 for x64-based
                  Systems (GDR)
                  Microsoft Microsoft SQL Server 2019 (GDR)
                  Microsoft Microsoft SQL Server 2019 for x64-based
                  Systems (CU 32)
                  Microsoft Microsoft SQL Server 2022 for x64-based
                  Systems (CU 20)
                  Microsoft Microsoft SQL Server 2022 for x64-based
                  Systems (GDR)
                  Microsoft Sql_Server_2016
                  Microsoft Sql_Server_2019
                  Microsoft Sql_Server_2022
                  Microsoft sql_server
Versie(s)       :
Platform(s)     :

Beschrijving
   Microsoft heeft kwetsbaarheden verholpen in SQL Server.

   De kwetsbaarheden zijn gerelateerd aan onjuist toegangsbeheer en SQL-
   injectie, waardoor geautoriseerde aanvallers hun privileges binnen
   een netwerk kunnen escaleren. Dit kan leiden tot ongeautoriseerde
   toegang en manipulatie van gevoelige gegevens. De kwetsbaarheden zijn
   aanwezig in meerdere versies van SQL Server, waarbij de ernst kan
   variëren op basis van specifieke configuraties en implementaties.
   ```
   SQL Server:
   |----------------|------|-------------------------------------|
   | CVE-ID         | CVSS | Impact                              |
   |----------------|------|-------------------------------------|
   | CVE-2025-49758 | 8.80 | Verkrijgen van verhoogde rechten    |
   | CVE-2025-53727 | 8.80 | Verkrijgen van verhoogde rechten    |
   | CVE-2025-24999 | 8.80 | Verkrijgen van verhoogde rechten    |
   | CVE-2025-49759 | 8.80 | Verkrijgen van verhoogde rechten    |
   | CVE-2025-47954 | 8.80 | Verkrijgen van verhoogde rechten    |
   |----------------|------|-------------------------------------|
   ```

Mogelijke oplossingen
   Microsoft heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen. Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://msrc.microsoft.com/update-guide/en-us

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmicPJoACgkQytTOqyR+
cF/XSgv/eyQ0IbxOofyo9m+mtqeLOguOA5WfGIBfJih8Vk4Ubxch0B8Nnqm+nlmJ
nMBo7Dy0kJY+SdnXe0l2Brvebng3OWknzjzBlmHgiccm3TWW3U5j0SOrUQC5mzqr
1FCpfKJIz0jVGJQn/KIVywLcnB4Gp/yNxrWJFgQaxuUYN2xSdEYcSZjr/+H5EuKl
MZ5j1d85/cl3VzxdfbMnFCMMN9nMxoRTx0t2Iwm3goySbunOAjGd5ATTpxHYaXQ1
2nzCJe2PItIxNmwA3wyW43YFrgMBK0BKS0SxJ7cygENq1Xdk7iuq3zmPkEJ1JbNv
BIhmAkU340E+QSRYklV6RpyHxjcLCaVTlhFUpdykg078EfcNKMw9rmiMrYmCvBUb
+aRCFDzY/b+NKiCth9syBjMsPSekTWvIgfNFpqgYGbdziq7jhh7Uo1rVTIW11rXa
9/QzB2Mloc/MRQa6cwVFNlTR4oZAUSLXwwkrErUf1EcgXYm0Ex8KkX8dJvpszIkQ
YvGnyi8Y
=ma60
-----END PGP SIGNATURE-----