Vulnerabilite RCE critique dans WeKnora : Importance de la mise a jour

Le 7 mars 2026, la CVE-2026-30860 a ete identifiee dans le cadre de l'application WeKnora, un framework utilise pour la comprehension documentaire et la recuperation semantique. Cette vulnerabilite critique, avec un score CVSS de 9.9, permet a un attaquant non authentifie d'executer du code arbitraire sur le serveur de base de donnees en raison d'un defaut de validation dans les requetes SQL.

Contexte de la menace

WeKnora, avant sa version 0.2.12, possede une fonctionnalite de requete de base de donnees qui ne valide pas correctement les noeuds enfants dans les expressions de tableau PostgreSQL. Cela permet aux attaquants de contourner les protections contre les injections SQL en introduisant des fonctions PostgreSQL dangereuses et en les chainant avec des operations sur de gros objets et des capacites de chargement de bibliotheques.

Impact sur les municipalites quebecoises

Pour les municipalites du Quebec qui utilisent WeKnora pour la gestion de documents et d'informations, cette vulnerabilite expose potentiellement des donnees sensibles et peut compromettre l'integrite de leurs bases de donnees. Les consequences peuvent inclure des pertes de donnees, des interruptions de service, et des repercussions legales en vertu de la Loi 25 sur la protection des renseignements personnels.

Recommendations

Les municipalites doivent immediatement mettre a jour leur installation de WeKnora vers la version 0.2.12 ou superieure pour se protger contre cette vulnerabilite. De plus, il est recommande d'effectuer des audits de securite regulaires pour identifier d'autres potentielles failles dans les infrastructures.

Indicateurs de compromission (IoC)

Aucun IoC specifique n'est disponible pour cette vulnerabilite; toutefois, les municipalites doivent surveiller les activites suspectes sur leurs serveurs de base de donnees et mettre en place des alertes pour toute anomalie dans les requetes SQL.