IPBUF安全漏洞报告
English
CVE-2026-29090 CVSS 8.8 高危

CVE-2026-29090 Rucio SQL注入漏洞

披露日期: 2026-05-06
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-29090
漏洞类型
SQL注入
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Rucio

相关标签

SQL注入RucioPostgreSQLRCE高危漏洞

漏洞概述

Rucio在1.30.0及后续特定版本中存在SQL注入漏洞。当启用postgres_meta插件时,FilterEngine.create_postgres_query()函数未正确过滤用户输入,直接使用.format()拼接SQL。攻击者可通过DID搜索端点注入恶意SQL,执行任意数据库命令,可能导致数据泄露、篡改或通过PostgreSQL功能实现代码执行。

技术细节

该漏洞源于Rucio的`FilterEngine.create_postgres_query()`方法在处理DID搜索请求时的不安全实现。当系统配置使用`postgres_meta`作为元数据插件时,攻击者控制的过滤键和值通过Python字符串的`.format()`方法直接插入到原始SQL字符串中。随后,该字符串被传递给`psycopg3`库的`sql.SQL()`对象。由于字符串在传递前已被格式化,`psycopg3`将其视为受信任的SQL语法而非参数化数据,从而允许攻击者注入任意SQL命令。利用此漏洞,具备低权限的认证用户可读取敏感表、修改或删除元数据,甚至利用PostgreSQL的`COPY ... FROM PROGRAM`特性在服务器端执行系统命令,获取完全控制权。

攻击链分析

STEP 1
侦察与认证
攻击者识别出目标使用Rucio数据管理系统,并获取一个低权限的认证账户。
STEP 2
构造恶意Payload
攻击者针对`GET /dids/<scope>/dids/search`接口,构造包含SQL注入语法的过滤参数(如利用`' OR 1=1--`)。
STEP 3
发送利用请求
攻击者将包含恶意Payload的请求发送至服务器。
STEP 4
服务器端处理
服务器端的`FilterEngine.create_postgres_query()`函数使用`.format()`将Payload拼接到SQL语句中,并传递给数据库执行。
STEP 5
执行攻击动作
数据库执行注入的SQL语句,攻击者从而窃取数据、破坏元数据或利用`COPY ... FROM PROGRAM`执行系统命令。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC Concept for CVE-2026-29090 import requests target_url = "http://vulnerable-rucio-instance:8080/dids/test_scope/dids/search" # Malicious filter exploiting the .format() SQL injection # Attempting to perform a blind SQL injection or time-based attack params = { "filter": "name='test' OR 1=1; --" } headers = { "X-Rucio-Account": "attacker", "X-Rucio-Token": "valid_auth_token" } response = requests.get(target_url, params=params, headers=headers) if response.status_code == 200: print("[+] Potential SQL Injection successful") print(response.text) else: print("[-] Request failed")

影响范围

Rucio >= 1.30.0, < 35.8.5
Rucio >= 38.0.0, < 38.5.5
Rucio >= 39.0.0, < 39.4.2
Rucio >= 40.0.0, < 40.1.1

防御指南

临时缓解措施
建议立即升级Rucio至修复版本。若暂时无法升级,应严格限制对`/dids/.../search`端点的访问权限,并在数据库层面撤销服务账号执行`COPY ... FROM PROGRAM`等高危操作的权限,以防止代码执行。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表