Критична вразливість ін’єкції коду та відсутності автентифікації в Google Agent Development Kit (CVE-2026-4810)

Вразливість ін’єкції коду в Google Agent Development Kit дозволяє віддалене виконання коду. Оновіть ADK до версій 1.28.1 або 2.0.0a2 для захисту.
CVE-2026-4810CVSS 9.3Runtime

Критична вразливість ін’єкції коду та відсутності автентифікації в Google Agent Development Kit (CVE-2026-4810)

Вразливість ін’єкції коду в Google Agent Development Kit дозволяє віддалене виконання коду. Оновіть ADK до версій 1.28.1 або 2.0.0a2 для захисту.

CVSS
9.3 CRITICAL
EPSS
76.06%
Активно використовується
немає в KEV
Продукт
-

Що відомо

В Google Agent Development Kit (ADK) версій від 1.7.0 до 1.28.1 існує критична вразливість ін’єкції коду та відсутності автентифікації, що дозволяє неавторизованому віддаленому зловмиснику виконувати довільний код на сервері. Проблема виправлена у версіях 1.28.1 та 2.0.0a2.

Бізнес-вплив

Ця вразливість створює серйозну загрозу для безпеки інфраструктури, оскільки зловмисник може отримати контроль над сервером, що запускає ADK. Це може призвести до компрометації даних, порушення роботи сервісів та подальшого поширення атаки в мережі. Операторам ІТ необхідно терміново оновити ADK, щоб уникнути потенційних інцидентів.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Google Agent Development Kit до версій 1.28.1 або 2.0.0a2 у всіх продуктивних середовищах. Якщо використовується локальний запуск ADK Web, слід також оновити локальні інстанси. Крім того, варто перевірити журнали на ознаки зловмисної активності та обмежити доступ до серверів, де розгорнуто ADK, до мінімально необхідного.

Джерела