CVE-2026-29090: SQL-ін'єкція в Rucio через postgres_meta плагін

Виявлено критичну SQL-ін'єкцію в Rucio через postgres_meta плагін. Оновіть до безпечних версій для захисту даних і систем.
CVE-2026-29090CVSS 9.0Database

CVE-2026-29090: SQL-ін'єкція в Rucio через postgres_meta плагін

Виявлено критичну SQL-ін'єкцію в Rucio через postgres_meta плагін. Оновіть до безпечних версій для захисту даних і систем.

CVSS
9.0 CRITICAL
EPSS
21.82%
Активно використовується
немає в KEV
Продукт
rucio

Що відомо

У Rucio версій 1.30.0 і новіших до 35.8.5, 38.5.5, 39.4.2 та 40.1.1 виявлено критичну вразливість SQL-ін'єкції в функції FilterEngine.create_postgres_query(). Вона дозволяє автентифікованим користувачам виконувати довільні SQL-запити через кінцеву точку пошуку DID при активованому postgres_meta плагіні.

Бізнес-вплив

Експлуатація цієї вразливості може призвести до розкриття конфіденційних даних, модифікації або видалення метаданих, доступу до файлів на сервері або навіть виконання коду на сервері бази даних, залежно від прав облікового запису сервісу. Це створює серйозні ризики для цілісності та безпеки інфраструктури, особливо в середовищах з відкритим доступом до Rucio.

Рекомендовані дії адміністратора

Адміністраторам слід негайно перевірити версію Rucio та оновити її до 35.8.5, 38.5.5, 39.4.2 або 40.1.1, де ця вразливість виправлена. Якщо оновлення неможливе, рекомендується обмежити використання postgres_meta плагіна, провести аудит логів на предмет підозрілої активності та мінімізувати права облікового запису бази даних, що використовує Rucio.

Джерела