Las bases de datos corporativas están expuestas. Un atacante con permisos mínimos puede convertirse en administrador supremo del sistema sin interactuar con el usuario.
La seguridad de las bases de datos empresariales enfrenta una amenaza inminente tras una nueva divulgación pública. Este 11 de marzo de 2026, se informa que Microsoft ha revelado una vulnerabilidad crítica zero-day en SQL Server que permite a los atacantes autenticados escalar sus privilegios al nivel administrativo más alto.
Rastreada bajo el identificador CVE-2026-21262 y con una puntuación base CVSS v3.1 de 8.8 (severidad “Importante”), la falla se origina por un control de acceso inadecuado (CWE-284) dentro del motor de la base de datos.
Del Acceso Básico al Control Absoluto
La mecánica de esta vulnerabilidad la hace especialmente letal para entornos corporativos compartidos:
- Un atacante autenticado en la red que posea permisos explícitos básicos puede iniciar sesión en la instancia de SQL Server y aprovechar este fallo de control de acceso para escalar su sesión.
- Al lograrlo, el actor de amenazas obtiene los privilegios de sysadmin, el nivel de acceso más alto y poderoso dentro de un entorno de SQL Server.
- El vector de ataque está basado en la red, goza de baja complejidad, requiere solo privilegios de bajo nivel para iniciarse y no demanda absolutamente ninguna interacción por parte de un usuario legítimo.
- El impacto de la explotación compromete las tres dimensiones críticas de la seguridad (confidencialidad, integridad y disponibilidad), otorgando un control completo y absoluto sobre la instancia de la base de datos.
Divulgación Pública y Parches Urgentes
Microsoft ha confirmado que los detalles técnicos de esta vulnerabilidad ya han sido divulgados públicamente, lo que reduce significativamente la barrera técnica para que los cibercriminales desarrollen exploits funcionales. Aunque la compañía evalúa su probabilidad de explotación como “Menos Probable” y aún no se han detectado ataques activos en la naturaleza, el riesgo a corto plazo es enorme, especialmente en bases de datos multiinquilino (multi-tenant) donde usuarios de bajos privilegios ya tienen accesos legítimos.
Para neutralizar esta amenaza, Microsoft liberó parches de seguridad el 10 de marzo de 2026. Las actualizaciones (GDR o Actualizaciones Acumulativas CU) cubren todas las versiones modernas del sistema:
- SQL Server 2025: Actualizaciones KB 5077466 y 5077468.
- SQL Server 2022: Actualizaciones KB 5077464 y 5077465.
- SQL Server 2019: Actualizaciones KB 5077469 y 5077470.
- SQL Server 2017 y 2016: Actualizaciones KB 5077471, 5077472, 5077473 y 5077474.
Se recomienda a los equipos de seguridad priorizar la aplicación de parches de forma inmediata, auditar a fondo los permisos de los usuarios, restringir los privilegios explícitos solo a cuentas de confianza y monitorear los registros en busca de actividad anómala de escalada de privilegios.
