CVE-2026-29090: Krytyczna luka SQL Injection w Rucio
Krytyczna luka SQL Injection w Rucio umożliwia wykonanie dowolnych zapytań SQL przez uwierzytelnionych użytkowników. Zalecana natychmiastowa aktualizacja.
- CVSS
- 9.0 CRITICAL
- EPSS
- 21.82%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- rucio
Co wiadomo
W Rucio w wersjach od 1.30.0 do przed 35.8.5, 38.5.5, 39.4.2 i 40.1.1 wykryto lukę SQL Injection w funkcji FilterEngine.create_postgres_query(). Uwierzytelnieni użytkownicy mogą wykonywać dowolne zapytania SQL na bazie PostgreSQL przez punkt końcowy wyszukiwania DID, jeśli używany jest plugin postgres_meta.
Wpływ biznesowy
Eksploatacja luki może prowadzić do ujawnienia wrażliwych danych, modyfikacji lub usunięcia metadanych, dostępu do plików serwera, a nawet wykonania kodu na serwerze bazodanowym. Zagrożenie jest krytyczne dla środowisk korzystających z pluginu postgres_meta i może poważnie wpłynąć na integralność i poufność danych.
Rekomendowane działania administratora
Administratorzy powinni jak najszybciej zweryfikować użycie pluginu postgres_meta w swoich wdrożeniach Rucio i zaktualizować oprogramowanie do wersji 35.8.5, 38.5.5, 39.4.2 lub 40.1.1. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do punktu końcowego wyszukiwania DID, monitorowanie logów pod kątem podejrzanej aktywności oraz przegląd uprawnień konta bazy danych.