两个漏洞可用于攻陷谷歌 Looker 实例

研究人员指出，远程代码执行漏洞可使攻击者获得底层基础设施的完全管理权限。Tenable公司进一步说明指出，在云端部署的实例中，该漏洞可能引发跨租户访问风险。第二个漏洞为"授权绕过漏洞"，攻击者可利用该漏洞接入Looker内部数据库连接，并通过基于错误的SQL注入技术窃取完整的内部MySQL数据库。虽然该公司已为云端托管实例部署补丁，但自托管实例的用户需确保其运行的是已修复漏Looker版本。网络安

奇安信代码卫士

27人浏览 · 2026-02-06 18:29:47

奇安信代码卫士 · 2026-02-06 18:29:47 发布

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全公司 Tenable 的研究人员发现了两个漏洞，可用于完全攻陷谷歌 Looker 商业情报平台的实例。

谷歌 Looker 使组织机构能将分散的数据集整合到统一数据层，以创建实时可视化图表、交互式仪表盘和数据驱动型应用。企业可选择由谷歌云完全托管实例的SaaS版本，也可将平台部署在自有基础设施上。

研究人员发现该平台存在两个漏洞，若被利用可能导致远程代码执行及敏感信息泄露。这些漏洞被统称为“LookOut”，可遭拥有目标Looker实例开发者权限的攻击者利用。

研究人员指出，远程代码执行漏洞可使攻击者获得底层基础设施的完全管理权限。攻击者能够窃取机密信息、篡改数据，或进一步渗透内部网络。Tenable公司进一步说明指出，在云端部署的实例中，该漏洞可能引发跨租户访问风险。第二个漏洞为"授权绕过漏洞"，攻击者可利用该漏洞接入Looker内部数据库连接，并通过基于错误的SQL注入技术窃取完整的内部MySQL数据库。

谷歌已于2025年9月下旬修复了这些漏洞。虽然该公司已为云端托管实例部署补丁，但自托管实例的用户需确保其运行的是已修复漏Looker版本。谷歌表示目前未发现漏洞遭在野利用的证据。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

谷歌 Gemini 提示注入漏洞可用于暴露私有日历数据

谷歌紧急修复 Chrome 中的两个高危内存损坏漏洞

谷歌Gemini Enterprise存在漏洞，可导致企业数据遭暴露

谷歌修复107个安卓漏洞，其中2个已遭利用

原文链接

https://www.securityweek.com/vulnerabilities-allowed-full-compromise-of-google-looker-instances/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。