CVE-2026-29090: Krytyczna luka SQL Injection w Rucio

Krytyczna luka SQL Injection w Rucio umożliwia wykonanie dowolnych zapytań SQL przez uwierzytelnionych użytkowników. Zalecana natychmiastowa aktualizacja.
CVE-2026-29090CVSS 9.0Database

CVE-2026-29090: Krytyczna luka SQL Injection w Rucio

Krytyczna luka SQL Injection w Rucio umożliwia wykonanie dowolnych zapytań SQL przez uwierzytelnionych użytkowników. Zalecana natychmiastowa aktualizacja.

CVSS
9.0 CRITICAL
EPSS
21.82%
Aktywnie wykorzystywana
brak w KEV
Produkt
rucio

Co wiadomo

W Rucio w wersjach od 1.30.0 do przed 35.8.5, 38.5.5, 39.4.2 i 40.1.1 wykryto lukę SQL Injection w funkcji FilterEngine.create_postgres_query(). Uwierzytelnieni użytkownicy mogą wykonywać dowolne zapytania SQL na bazie PostgreSQL przez punkt końcowy wyszukiwania DID, jeśli używany jest plugin postgres_meta.

Wpływ biznesowy

Eksploatacja luki może prowadzić do ujawnienia wrażliwych danych, modyfikacji lub usunięcia metadanych, dostępu do plików serwera, a nawet wykonania kodu na serwerze bazodanowym. Zagrożenie jest krytyczne dla środowisk korzystających z pluginu postgres_meta i może poważnie wpłynąć na integralność i poufność danych.

Rekomendowane działania administratora

Administratorzy powinni jak najszybciej zweryfikować użycie pluginu postgres_meta w swoich wdrożeniach Rucio i zaktualizować oprogramowanie do wersji 35.8.5, 38.5.5, 39.4.2 lub 40.1.1. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do punktu końcowego wyszukiwania DID, monitorowanie logów pod kątem podejrzanej aktywności oraz przegląd uprawnień konta bazy danych.

Źródła