CVE-2026-29080: krytyczna luka SQL injection w Rucio

Krytyczna luka SQL injection w Rucio umożliwia atak na bazę Oracle. Zalecana szybka aktualizacja do wersji z poprawką.
CVE-2026-29080CVSS 9.4Database

CVE-2026-29080: krytyczna luka SQL injection w Rucio

Krytyczna luka SQL injection w Rucio umożliwia atak na bazę Oracle. Zalecana szybka aktualizacja do wersji z poprawką.

CVSS
9.4 CRITICAL
EPSS
19.91%
Aktywnie wykorzystywana
brak w KEV
Produkt
rucio

Co wiadomo

W Rucio wykryto krytyczną lukę SQL injection w funkcji create_sqla_query(), umożliwiającą uwierzytelnionym użytkownikom wykonanie dowolnych zapytań SQL na bazie danych Oracle przez endpoint wyszukiwania DID. Luka dotyczy wersji od 1.27.0 do przed 35.8.5, 38.5.5, 39.4.2 i 40.1.1 i pozwala na pełne przejęcie bazy danych, w tym wykradanie tokenów i haseł.

Wpływ biznesowy

Luka umożliwia atakującemu dostęp do wszystkich zarządzanych danych oraz wrażliwych informacji, takich jak tokeny uwierzytelniające i hasła, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty integralności danych. Operatorzy korzystający z Oracle powinni pilnie zweryfikować swoje wersje Rucio i przygotować się na potencjalne incydenty związane z wyciekiem danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Rucio do wersji 35.8.5, 38.5.5, 39.4.2 lub 40.1.1, które zawierają poprawkę. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointu wyszukiwania DID, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić audyt bezpieczeństwa bazy danych. Warto również zweryfikować konfigurację i rozważyć zastosowanie dodatkowych mechanizmów ochrony przed SQL injection.

Źródła