つみかさね

CVE-2026-21262

High(8.8)

Microsoft SQL Serverの権限昇格 CVE-2026-21262:影響範囲と対応方法

公開日: 2026-07-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Microsoft SQL ServerMicrosoft2026年3月パッチ未適用

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1SQL Serverのバージョンを確認し、2026年3月のパッチが適用済みか確認する
  2. 2未適用の場合はWindows Update/WSUSを通じてセキュリティ更新を適用する
  3. 3適用後にSQL Serverサービスを再起動する

影響対象

Microsoft SQL Server利用者・DBA

補足

  • -詳細な攻撃条件はMSRCにより非開示。認証済み攻撃者が必要なため、外部に直接公開されていない環境はリスクが低め
CVEMicrosoft SQL Server権限昇格Windowsデータベース

30秒で判断

対応すべき人:

  • Microsoft SQL Serverを使用しているすべてのシステム管理者・DBA
  • 2026年3月のMicrosoft セキュリティ更新プログラムを未適用の環境

対応不要な人:

  • 2026年3月のMicrosoftセキュリティ更新プログラム適用済みの環境
  • Microsoft SQL Serverを使用していない環境

確認コマンド:

-- SQL Serverバージョン確認
SELECT @@VERSION;

概要

Microsoft SQL Server の不適切なアクセス制御(CWE-284)により、認証済みの攻撃者がネットワーク経由で権限を昇格できます。詳細な攻撃手法はMSRCにより非開示とされていますが、CVSS8.8と高い深刻度が付与されています。

SQL Serverは企業内データベースとして広く使用されており、権限昇格が成功した場合はデータベース上の機密情報へのアクセスや、さらなる横断的侵害に利用される可能性があります。


CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由
Attack ComplexityLow特別な条件不要
Privileges RequiredLow低権限ユーザーが必要
User InteractionNone被害者の操作不要
ScopeUnchanged
ConfidentialityHigh高権限データへのアクセス
IntegrityHighデータ改ざん可能性
AvailabilityLow

影響を受けるソフトウェア

製品ベンダー影響バージョン
Microsoft SQL ServerMicrosoft2026年3月パッチ未適用のバージョン

詳細な影響バージョンはMSRCの公式アドバイザリを参照してください。


修正バージョンと対応策

推奨対応: 2026年3月のMicrosoftセキュリティ更新プログラムを適用

  • Windows Update / WSUS / SCCMを通じてセキュリティ更新プログラムを適用
  • SQL Server自体のCU(累積更新)も確認し、最新版へアップデート

追加の緩和策:

  • SQL Serverへの接続を最小権限原則に従い制限
  • 不要なSQLユーザーアカウントを無効化
  • ネットワークファイアウォールでSQL Serverポート(デフォルト1433)へのアクセスを制限

関連リンク


データソース: NVD (NIST), MSRC
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。