CVE-2026-29090

Nome do Software Vulnerável e Versões Afetadas Rucio versões 1.30.0 até 35.8.4 Rucio versões 38.x até 38.5.4 Rucio versões 39.x até 39.4.1 Rucio versões 40.x até 40.1.0

Description Um problema existe na função FilterEngine.create postgres query() onde usuários autenticados podem executar SQL arbitrário contra o banco de dados de metadados PostgreSQL. Isso ocorre quando o plugin de metadados postgres meta está configurado, pois chaves e valores de filtro controlados pelo invasor são interpolados diretamente em strings SQL brutas usando .format() do Python, que são então processadas como sintaxe confiável pelo sql.SQL() do psycopg3. A falha é acessível através do endpoint 'GET /dids//dids/search'. Dependendo dos privilégios do banco de dados, isso pode levar à exposição de tabelas sensíveis (como identities, tokens, accounts, rse settings e rules), modificação ou exclusão de metadados, acesso a arquivos do servidor ou execução remota de código através do recurso COPY ... FROM PROGRAM. Hashes de senhas também podem ser extraídos e quebrados devido ao uso de SHA-256 de iteração única sem uma Função de Derivação de Chave (KDF), um método usado para fortalecer senhas antes da compactação.

Recommendations Atualizar para a versão 35.8.5. Atualizar para a versão 38.5.5. Atualizar para a versão 39.4.2. Atualizar para a versão 40.1.1. Como mitigação temporária, restrinja o acesso ao endpoint 'GET /dids//dids/search' ou desative o plugin de metadados postgres meta.