CVE-2026-42031 — SQL Injection no CKAN DataStore
Em ambientes afetados, um atacante remoto, sem autenticação, pode explorar a falha para realizar injeção de SQL e acessar recursos privados ou informações internas do PostgreSQL associado ao DataStore.
Destinatários: órgãos e entidades que utilizam CKAN para publicação, gestão ou integração de catálogos de dados, principalmente em ambientes com CKAN DataStore habilitado.
Resumo: A CVE-2026-42031 afeta o CKAN em versões anteriores à 2.10.10 e versões da linha 2.11.0 até 2.11.4. A falha foi classificada pela NVD com CVSS 9.8.A vulnerabilidade está na funcionalidade datastore_search_sql, do CKAN DataStore. Em ambientes afetados, um atacante remoto, sem autenticação, pode explorar a falha para realizar injeção de SQL e acessar recursos privados ou informações internas do PostgreSQL associado ao DataStore.As versões corrigidas são CKAN 2.10.10 e CKAN 2.11.5.
Impacto
A exploração pode permitir acesso indevido a recursos privados mantidos no DataStore, consulta a informações internas do PostgreSQL e enumeração de tabelas, colunas e metadados do banco.Em ambientes com dados privados, restritos ou sensíveis no DataStore, a falha pode resultar em exposição de informações não públicas e fornecer insumos para novas etapas de exploração.
Ações recomendadas
Ambientes em versões afetadas devem ser atualizados para as versões corrigidas do CKAN, conforme a linha utilizada.A funcionalidade DataStore SQL Search deve permanecer desabilitada quando não for necessária, com a configuração ckan.datastore.sqlsearch.enabled = false.Quando a funcionalidade precisar permanecer ativa, o uso do datastore_search_sql deve ser limitado por regras próprias de autorização, preferencialmente por meio da interface IAuthFunctions do CKAN.O usuário configurado em ckan.datastore.read_url deve ter apenas privilégios de leitura no PostgreSQL e não deve possuir permissões ampliadas sobre o banco.O endpoint /api/3/action/datastore_search_sql deve ficar restrito a redes administrativas, integrações autorizadas ou origens previamente conhecidas.Quando a busca SQL não for destinada a uso público, chamadas externas ao datastore_search_sql devem ser bloqueadas no proxy reverso, API Gateway ou WAF.Também devem ser revisadas chamadas recentes ao endpoint vulnerável, com atenção a consultas contendo pg_catalog, information_schema, UNION, subconsultas e tentativas de enumeração de tabelas.Em ambientes vulneráveis com a funcionalidade habilitada, deve ser avaliada possível exposição de recursos privados armazenados no DataStore.
Observações
A funcionalidade DataStore SQL Search é desabilitada por padrão no CKAN. A exposição depende da configuração adotada no ambiente, mas a atualização para versão corrigida permanece como medida principal.