| Title | CERNのRucioにおけるSQL インジェクションの脆弱性 |
|---|---|
| Summary | Rucioのバージョン1.30.0以降において、35.8.5、38.5.5、39.4.2、40.1.1の各バージョンより前のリリースに、FilterEngine.create_postgres_query()にSQLインジェクションの脆弱性が存在します。この脆弱性により、認証された任意のRucioユーザーがDID検索エンドポイント(GET /dids/scope/dids/search)を通じてPostgreSQLのメタデータデータベースに任意のSQLを実行可能です。postgres_metaメタデータプラグインが設定されている場合、攻撃者が制御するフィルターのキーと値がPythonの.format()を介して直接生のSQL文字列に挿入され、その後psycopg3のsql.SQL()に渡されて信頼されたSQL構文として処理されます。サービスアカウントに割り当てられたデータベース特権によっては、脆弱性を悪用することで機密テーブルの露出、メタデータの修正や削除、サーバー側ファイルへのアクセス、またはCOPY ... FROM PROGRAMのようなPostgreSQLの機能を通じてコード実行が可能になる場合があります。この問題は明示的にpostgres_metaメタデータプラグインを使用している展開に影響します。この脆弱性はバージョン35.8.5、38.5.5、39.4.2、40.1.1で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 6, 2026, midnight |
| Registration Date | May 12, 2026, 10:20 a.m. |
| Last Update | May 12, 2026, 10:20 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CERN |
| Rucio 1.30.0 以上 35.8.5 未満 |
| Rucio 36.0.0 以上 38.5.5 未満 |
| Rucio 39.0.0 以上 39.4.2 未満 |
| Rucio 40.0.0 以上 40.1.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月12日] 掲載 |
May 12, 2026, 10:20 a.m. |
| Summary | ### Summary A SQL injection vulnerability exists in Rucio versions 1.30.0 and later before 35.8.5, 38.5.5, 39.4.2, and 40.1.1, in `FilterEngine.create_postgres_query()`. This allows any authenticated Rucio user to execute arbitrary SQL against the PostgreSQL metadata database through the DID search endpoint (`GET /dids/<scope>/dids/search`). When the `postgres_meta` metadata plugin is configured, attacker-controlled filter keys and values are interpolated directly into raw SQL strings via Python `.format()`, then passed to `psycopg3`'s `sql.SQL()` which treats the string as trusted SQL syntax. Depending on the database privileges assigned to the service account, exploitation can expose sensitive tables, modify or delete metadata, access server-side files, or achieve code execution through PostgreSQL features such as COPY ... FROM PROGRAM. This issue affects deployments that explicitly use the postgres_meta metadata plugin. This vulnerability has been fixed in versions 35.8.5, 38.5.5, 39.4.2, and 40.1.1. |
|---|---|
| Publication Date | May 7, 2026, 3:16 a.m. |
| Registration Date | May 7, 2026, 4:09 a.m. |
| Last Update | May 12, 2026, midnight |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 1.30.0 | 35.8.5 | |||
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 36.0.0 | 38.5.5 | |||
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 39.0.0 | 39.4.2 | |||
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 40.0.0 | 40.1.1 | |||