文章总结： Tenable研究人员发现谷歌Looker商业情报平台存在两个漏洞（统称LookOut），可导致远程代码执行和敏感信息泄露。攻击者利用这些漏洞可获得底层基础设施完全管理权限，窃取机密信息、篡改数据或渗透内部网络，云端部署实例还存在跨租户访问风险。谷歌已于2025年9月下旬修复漏洞，自托管实例用户需及时更新版本。 综合评分： 78 文章分类： 漏洞分析,漏洞预警,数据安全,网络安全,云安全

两个漏洞可用于攻陷谷歌 Looker 实例

Eduard Kovacs Eduard Kovacs

代码卫士

2026年2月6日 18:29 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全公司 Tenable 的研究人员发现了两个漏洞，可用于完全攻陷谷歌 Looker 商业情报平台的实例。

谷歌 Looker 使组织机构能将分散的数据集整合到统一数据层，以创建实时可视化图表、交互式仪表盘和数据驱动型应用。企业可选择由谷歌云完全托管实例的SaaS版本，也可将平台部署在自有基础设施上。

研究人员发现该平台存在两个漏洞，若被利用可能导致远程代码执行及敏感信息泄露。这些漏洞被统称为“LookOut”，可遭拥有目标Looker实例开发者权限的攻击者利用。

研究人员指出，远程代码执行漏洞可使攻击者获得底层基础设施的完全管理权限。攻击者能够窃取机密信息、篡改数据，或进一步渗透内部网络。Tenable公司进一步说明指出，在云端部署的实例中，该漏洞可能引发跨租户访问风险。第二个漏洞为”授权绕过漏洞”，攻击者可利用该漏洞接入Looker内部数据库连接，并通过基于错误的SQL注入技术窃取完整的内部MySQL数据库。

谷歌已于2025年9月下旬修复了这些漏洞。虽然该公司已为云端托管实例部署补丁，但自托管实例的用户需确保其运行的是已修复漏Looker版本。谷歌表示目前未发现漏洞遭在野利用的证据。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

谷歌 Gemini 提示注入漏洞可用于暴露私有日历数据

谷歌紧急修复 Chrome 中的两个高危内存损坏漏洞

谷歌Gemini Enterprise存在漏洞，可导致企业数据遭暴露

谷歌修复107个安卓漏洞，其中2个已遭利用

原文链接

https://www.securityweek.com/vulnerabilities-allowed-full-compromise-of-google-looker-instances/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Eduard Kovacs Eduard Kovacs《两个漏洞可用于攻陷谷歌 Looker 实例》