CVE-2026-29090 in Rucio
Résumé
par VulDB • 02/06/2026
### Résumé
Une vulnérabilité d'injection SQL existe dans les versions de Rucio 1.30.0 et ultérieures, avant les versions 35.8.5, 38.5.5, 39.4.2 et 40.1.1, au sein de la fonction `FilterEngine.create_postgres_query()`. Cela permet à tout utilisateur authentifié de Rucio d'exécuter du code SQL arbitraire contre la base de données de métadonnées PostgreSQL via le point de recherche DID (`GET /dids//dids/search`). Lorsque le plugin de métadonnées `postgres_meta` est configuré, les clés et valeurs de filtre contrôlées par l'attaquant sont interpolées directement dans des chaînes SQL brutes via Python `.format()`, puis transmises à `sql.SQL()` de `psycopg3`, qui traite la chaîne comme une syntaxe SQL de confiance.
En fonction des privilèges de base de données attribués au compte de service, l'exploitation peut exposer des tables sensibles, modifier ou supprimer des métadonnées, accéder à des fichiers côté serveur ou obtenir une exécution de code via des fonctionnalités de PostgreSQL telles que `COPY ... FROM PROGRAM`. Ce problème affecte les déploiements qui utilisent explicitement le plugin de métadonnées `postgres_meta`. Cette vulnérabilité a été corrigée dans les versions 35.8.5, 38.5.5, 39.4.2 et 40.1.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.