Krytyczna luka w Google Agent Development Kit umożliwiająca zdalne wykonanie kodu
Krytyczna luka w Google Agent Development Kit pozwala na zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja do wersji 1.28.1 lub 2.0.0a2.
- CVSS
- 9.3 CRITICAL
- EPSS
- 76.06%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Google Agent Development Kit (ADK) w wersjach od 1.7.0 do 1.28.1 oraz 2.0.0a1 do 2.0.0a2 wykryto krytyczną lukę pozwalającą nieautoryzowanemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze. Luka dotyczy środowisk Python (OSS), Cloud Run i GKE.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do przejęcia kontroli nad serwerem hostującym instancję ADK, co stwarza poważne ryzyko dla integralności i dostępności usług. Organizacje korzystające z podatnych wersji ADK powinny niezwłocznie podjąć działania, aby zapobiec potencjalnym atakom i ograniczyć ryzyko naruszenia danych.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Google ADK do wersji 1.28.1 lub 2.0.0a2, które zawierają poprawkę usuwającą lukę. Należy również ponownie wdrożyć zaktualizowane instancje ADK w środowiskach produkcyjnych oraz, jeśli używane, zaktualizować lokalne instancje ADK Web. Dodatkowo warto ograniczyć ekspozycję usług, monitorować logi pod kątem podejrzanej aktywności i priorytetyzować działania zabezpieczające.