CVE-2026-29080: krytyczna luka SQL injection w Rucio
Krytyczna luka SQL injection w Rucio umożliwia atak na bazę Oracle. Zalecana szybka aktualizacja do wersji z poprawką.
- CVSS
- 9.4 CRITICAL
- EPSS
- 19.91%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- rucio
Co wiadomo
W Rucio wykryto krytyczną lukę SQL injection w funkcji create_sqla_query(), umożliwiającą uwierzytelnionym użytkownikom wykonanie dowolnych zapytań SQL na bazie danych Oracle przez endpoint wyszukiwania DID. Luka dotyczy wersji od 1.27.0 do przed 35.8.5, 38.5.5, 39.4.2 i 40.1.1 i pozwala na pełne przejęcie bazy danych, w tym wykradanie tokenów i haseł.
Wpływ biznesowy
Luka umożliwia atakującemu dostęp do wszystkich zarządzanych danych oraz wrażliwych informacji, takich jak tokeny uwierzytelniające i hasła, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty integralności danych. Operatorzy korzystający z Oracle powinni pilnie zweryfikować swoje wersje Rucio i przygotować się na potencjalne incydenty związane z wyciekiem danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Rucio do wersji 35.8.5, 38.5.5, 39.4.2 lub 40.1.1, które zawierają poprawkę. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointu wyszukiwania DID, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić audyt bezpieczeństwa bazy danych. Warto również zweryfikować konfigurację i rozważyć zastosowanie dodatkowych mechanizmów ochrony przed SQL injection.