CVE-2026-29090: SQL-ін'єкція в Rucio через postgres_meta плагін
Виявлено критичну SQL-ін'єкцію в Rucio через postgres_meta плагін. Оновіть до безпечних версій для захисту даних і систем.
- CVSS
- 9.0 CRITICAL
- EPSS
- 21.82%
- Активно використовується
- немає в KEV
- Продукт
- rucio
Що відомо
У Rucio версій 1.30.0 і новіших до 35.8.5, 38.5.5, 39.4.2 та 40.1.1 виявлено критичну вразливість SQL-ін'єкції в функції FilterEngine.create_postgres_query(). Вона дозволяє автентифікованим користувачам виконувати довільні SQL-запити через кінцеву точку пошуку DID при активованому postgres_meta плагіні.
Бізнес-вплив
Експлуатація цієї вразливості може призвести до розкриття конфіденційних даних, модифікації або видалення метаданих, доступу до файлів на сервері або навіть виконання коду на сервері бази даних, залежно від прав облікового запису сервісу. Це створює серйозні ризики для цілісності та безпеки інфраструктури, особливо в середовищах з відкритим доступом до Rucio.
Рекомендовані дії адміністратора
Адміністраторам слід негайно перевірити версію Rucio та оновити її до 35.8.5, 38.5.5, 39.4.2 або 40.1.1, де ця вразливість виправлена. Якщо оновлення неможливе, рекомендується обмежити використання postgres_meta плагіна, провести аудит логів на предмет підозрілої активності та мінімізувати права облікового запису бази даних, що використовує Rucio.