JVNDB-2026-015121 | |
CERNのRucioにおけるSQL インジェクションの脆弱性 | |
| 概要 | |
`FilterEngine.create_sqla_query()` におけるSQLインジェクション脆弱性により、認証済みの任意のRucioユーザーがDID検索エンドポイント(`GET /dids/scope/dids/search`)を介してバックエンドデータベースに対して任意のSQLを実行できます。Oracle環境では攻撃者が制御するフィルターキーと値がPythonの `.format()` によって `sqlalchemy.text()` に直接挿入され、パラメータ化を完全にバイパスします。これにより認証トークン、パスワードハッシュ、すべての管理データ識別子の抽出を含むデータベース全体の完全な侵害が可能となります。本脆弱性はバージョン1.27.0以降から35.8.5、38.5.5、39.4.2、40.1.1より前のバージョンに影響します。脆弱性は `lib/rucio/core/did_meta_plugins/filter_engine.py` の `create_sqla_query()` メソッドに存在し、データベース方言がOracleの場合、JSONメタデータカラムのフィルター式がPython文字列フォーマットを用いた `text()` によって構築されます。`key` と `value` はHTTPクエリパラメータに由来する攻撃者制御の文字列であり、`text()` は内容のエスケープやパラメータ化を行わない生のSQLフラグメントを生成します。認証済みの任意のRucioユーザーはDID検索APIを介してこれを悪用でき、バックエンドデータベースに対して任意のSQLを実行可能で、すべての管理データ識別子および識別子、トークン、アカウント、rse_settings、ルールなどの機密テーブルの情報漏洩やデータベース内容の変更を引き起こす可能性があります。本問題はデフォルトのjson_metaプラグインを使用するOracle環境に影響し、PostgreSQLやMySQL環境には影響しません。本脆弱性はバージョン35.8.5、38.5.5、39.4.2、40.1.1で修正されています。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
CERN | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/05/06 |
| 登録日 | 2026/05/12 |
| 最終更新日 | 2026/05/12 |
