JVNDB-2026-015120

CERNのRucioにおけるSQL インジェクションの脆弱性

Rucioのバージョン1.30.0以降において、35.8.5、38.5.5、39.4.2、40.1.1の各バージョンより前のリリースに、FilterEngine.create_postgres_query()にSQLインジェクションの脆弱性が存在します。この脆弱性により、認証された任意のRucioユーザーがDID検索エンドポイント（GET /dids/scope/dids/search）を通じてPostgreSQLのメタデータデータベースに任意のSQLを実行可能です。postgres_metaメタデータプラグインが設定されている場合、攻撃者が制御するフィルターのキーと値がPythonの.format()を介して直接生のSQL文字列に挿入され、その後psycopg3のsql.SQL()に渡されて信頼されたSQL構文として処理されます。サービスアカウントに割り当てられたデータベース特権によっては、脆弱性を悪用することで機密テーブルの露出、メタデータの修正や削除、サーバー側ファイルへのアクセス、またはCOPY ... FROM PROGRAMのようなPostgreSQLの機能を通じてコード実行が可能になる場合があります。この問題は明示的にpostgres_metaメタデータプラグインを使用している展開に影響します。この脆弱性はバージョン35.8.5、38.5.5、39.4.2、40.1.1で修正されています。

CERN

• Rucio 1.30.0 以上 35.8.5 未満
• Rucio 36.0.0 以上 38.5.5 未満
• Rucio 39.0.0 以上 39.4.2 未満
• Rucio 40.0.0 以上 40.1.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : SQL Injection in External PostgreSQL Metadata Plugin via DID Search API  Advisory  rucio/rucio  GitHub

1. SQLインジェクション(CWE-89) [その他]

1. CVE-2026-29090

1. National Vulnerability Database (NVD) : CVE-2026-29090

• [2026年05月12日]
    掲載