CVE-2026-29080: SQL-ін'єкція в Rucio дозволяє виконувати довільні SQL-запити
Критична SQL-ін'єкція в Rucio дозволяє автентифікованим користувачам виконувати довільні SQL-запити в Oracle-базах. Оновіть до безпечних версій.
- CVSS
- 9.4 CRITICAL
- EPSS
- 19.91%
- Активно використовується
- немає в KEV
- Продукт
- rucio
Що відомо
У Rucio виявлено критичну вразливість SQL-ін'єкції в методі create_sqla_query(), що дозволяє автентифікованим користувачам виконувати довільні SQL-запити через API пошуку DID. Проблема стосується Oracle-деплойментів і може призвести до компрометації бази даних, включно з викраденням токенів та паролів.
Бізнес-вплив
Ця вразливість може призвести до повного контролю над базою даних Rucio, що включає доступ до конфіденційних ідентифікаторів даних, облікових записів та інших критичних таблиць. Для операторів ІТ та власників інфраструктури це означає високий ризик витоку даних, порушення цілісності інформації та потенційні збитки через несанкціоновані зміни в базі.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Rucio до версій 35.8.5, 38.5.5, 39.4.2 або 40.1.1, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до API пошуку DID, ретельно перевірити журнали на ознаки експлуатації та мінімізувати експозицію Oracle-бази. Також варто переглянути політики автентифікації та моніторинг безпеки.