Microsoft mengonfirmasi adanya kerentanan keamanan baru pada SQL Server yang dikategorikan sebagai zero-day. Celah tersebut terdaftar dengan kode CVE-2026-21262 dan berpotensi memungkinkan peningkatan hak akses hingga tingkat administrator database.
Informasi ini diumumkan oleh Microsoft Security Response Center setelah kerentanan tersebut diketahui publik sebelum patch resmi dirilis. Dalam klasifikasi Microsoft, kondisi tersebut sudah memenuhi kriteria zero-day meskipun belum ada bukti bahwa celah tersebut telah dimanfaatkan dalam serangan nyata.
Kerentanan CVE-2026-21262 berkaitan dengan mekanisme kontrol akses yang tidak berjalan sebagaimana mestinya di SQL Server. Kondisi ini dapat dimanfaatkan oleh pihak yang sudah memiliki akses login ke sistem database untuk meningkatkan hak akses menjadi sysadmin melalui jaringan.
Status sysadmin dalam SQL Server memiliki kekuasaan penuh terhadap database. Dengan hak akses tersebut, seseorang dapat mengubah konfigurasi sistem, membaca atau menghapus data penting, hingga menjalankan berbagai perintah administratif yang biasanya hanya diperuntukkan bagi administrator database.
Walaupun begitu, eksploitasi terhadap celah ini tidak bisa dilakukan secara sembarangan. Pelaku harus sudah memiliki akun yang terautentikasi di dalam sistem SQL Server sebelum mencoba meningkatkan hak akses. Persyaratan ini membuat tingkat risiko praktisnya sedikit lebih terbatas dibanding kerentanan yang dapat diserang langsung dari internet tanpa autentikasi.
Namun sejumlah pakar keamanan menilai risiko tetap perlu diperhatikan. Skor keparahan berdasarkan Common Vulnerability Scoring System mencapai 8,8 dari skala 10, hanya sedikit di bawah kategori kritis. Angka tersebut menunjukkan bahwa dampak yang ditimbulkan tetap tergolong serius, terutama bagi organisasi yang mengelola infrastruktur database skala besar.
Dalam banyak kasus, server database sebenarnya tidak disarankan untuk diakses langsung dari internet. Praktik keamanan yang umum adalah menempatkan SQL Server di jaringan internal dan hanya dapat diakses melalui lapisan aplikasi atau jaringan yang lebih terbatas.
Meski demikian, realitas di lapangan menunjukkan masih banyak server database yang terbuka ke internet. Berbagai mesin pencari perangkat yang terhubung ke jaringan global bahkan mencatat puluhan ribu instance SQL Server yang dapat ditemukan secara publik. Kondisi ini berpotensi memperluas permukaan serangan apabila kerentanan seperti CVE-2026-21262 dimanfaatkan oleh pelaku kejahatan siber.
Jika serangan berhasil dilakukan, salah satu risiko yang mungkin terjadi adalah penggunaan fitur xp_cmdshell. Fitur ini memungkinkan SQL Server menjalankan perintah langsung pada sistem operasi yang mendasarinya. Dengan akses tersebut, pelaku dapat menjalankan berbagai perintah sistem yang berpotensi membuka jalan ke kontrol lebih luas terhadap server.
Fitur tersebut memang dinonaktifkan secara default sejak SQL Server 2005. Namun administrator dengan hak sysadmin dapat mengaktifkannya hanya dalam hitungan detik. Jika penyerang berhasil memperoleh hak akses tersebut, kontrol yang didapat bisa meluas hingga ke sistem operasi tempat SQL Server berjalan.
Karena potensi dampaknya cukup besar, Microsoft menyarankan agar organisasi segera melakukan pembaruan perangkat lunak SQL Server. Pembaruan yang dirilis telah mencakup perbaikan terhadap kerentanan CVE-2026-21262 beserta pembaruan driver yang relevan.
Langkah pertama yang disarankan adalah memeriksa nomor versi SQL Server yang digunakan. Setelah itu, pengguna dapat mencocokkan versi tersebut dengan tabel pembaruan yang disediakan oleh Microsoft untuk menentukan patch yang tepat.
Apabila versi SQL Server yang digunakan sudah tidak tercantum dalam daftar dukungan, Microsoft menyarankan untuk meningkatkan sistem ke versi terbaru atau setidaknya ke service pack yang masih mendapatkan pembaruan keamanan. Langkah ini penting untuk memastikan sistem tetap mendapatkan perlindungan terhadap kerentanan yang mungkin muncul di masa depan.