Microsoft tapó este fallo en su Patch Tuesday del 10 de marzo de 2026. Se trata de una escalada de privilegios en SQL Server que parte de un control de acceso defectuoso: un usuario que ya tiene una cuenta válida en el servidor puede, a través de la red, terminar con permisos de SQLAdmin, es decir, el rol sysadmin que manda sobre toda la instancia. La puntuación CVSS es 8.8, dentro de la franja alta.
El problema fue catalogado como zero-day porque se divulgó públicamente antes de que existiera parche. Quien lo destapó fue Erland Sommarskog, un MVP de SQL Server muy conocido en la comunidad, a raíz de su artículo “Packaging Permissions in Stored Procedures”, donde analiza cómo se delegan permisos en procedimientos almacenados. No constan ataques aprovechando el fallo, así que la divulgación fue responsable y sin explotación activa registrada.
Qué falla exactamente
El identificador CWE asociado es CWE-284, control de acceso indebido. El vector CVSS (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) cuenta bastante: el ataque llega por red, no requiere interacción de la víctima y solo pide privilegios bajos de partida. No hace falta ser administrador para empezar. Basta con tener una cuenta con permisos limitados sobre la base de datos. A partir de ahí, el atacante puede saltar a sysadmin y, con ese rol, leer, modificar o borrar cualquier dato, cambiar la configuración del servidor o, en muchos despliegues, ejecutar comandos en el sistema operativo subyacente vía xp_cmdshell u otros mecanismos.
El impacto sobre confidencialidad, integridad y disponibilidad es alto en los tres ejes. Una vez con sysadmin, no queda nada que el atacante no pueda tocar dentro de esa instancia.
A quién afecta
El fallo alcanza a un buen abanico de versiones soportadas:
- SQL Server 2016 Service Pack 3
- SQL Server 2017 (CU 31 y rama GDR)
- SQL Server 2019 (CU 32 y rama GDR)
- SQL Server 2022 (CU 23 y rama GDR)
- SQL Server 2025 (CU 2 y rama GDR)
Todas en sistemas x64. Si gestionas una instancia de SQL Server expuesta a usuarios con cuentas propias, aunque sean de bajo privilegio, te toca. El escenario típico de riesgo es una base de datos compartida por varias aplicaciones o equipos, donde no todo el mundo debería poder llegar a sysadmin.
Mitigación
La respuesta es directa: aplicar la actualización acumulativa o GDR correspondiente a tu rama. Microsoft publicó los parches para cada versión soportada el mismo día del aviso. Si no puedes parchear de inmediato, reduce la superficie: revisa quién tiene cuentas con acceso de red a la instancia, limita los permisos al mínimo y restringe el acceso de red al puerto de SQL Server solo a los orígenes que de verdad lo necesitan.
Este zero-day formó parte del lote más amplio de marzo. Si llevas infraestructura Windows, repasa también el resto del boletín en nuestro resumen del Patch Tuesday de marzo de 2026, donde Microsoft corrigió 79 fallos en total. Para saber qué versiones de servidor siguen recibiendo soporte, tienes la ficha de Windows Server.
Fuente
- NVD - NIST: CVE-2026-21262