文章总结： Tenable披露GoogleLooker双重高危漏洞LookOut。漏洞1利用GitHooks路径遍历实现RCE，完全控制实例。漏洞2通过API绕过限制注入SQL窃取内部数据库数据。CVSS评分9.8。SaaS版已修复，客户托管版若未修补仍面临严重风险，建议立即排查。 综合评分： 89 文章分类： 漏洞分析,WEB安全,漏洞预警

LookOut：Google Looker 双重漏洞深度技术分析

原创

塑造者壹号 塑造者壹号

幻泉之洲

2026年2月6日 10:11 北京

正文开始：

一、漏洞概述

Tenable Research 在 Google Looker 平台中发现两个高危漏洞，统称为 “LookOut”：

| 漏洞 | 类型 | 影响 | | — | — | — | | 漏洞 #1 | 远程代码执行 (RCE) | 完全控制 Looker 实例，跨租户访问 | | 漏洞 #2 | 内部数据库外泄 (CVE-2025-12743) | 通过 SQL 注入提取内部 MySQL 数据库 |

影响版本：

• Google Cloud SaaS：已修复（Google 自动更新）
• 客户托管/本地部署：未修补则仍受影响

二、漏洞 #1：RCE via Git Hooks Config Override

2.1 攻击面分析

Looker 的 manifest.lkml 文件允许用户定义 remote_dependency，用于从其他 Git 仓库导入 LookML 视图和模型。

标准配置示例：

lookml

remote_dependency: public_project {  url: "https://github.com/llooker/google_ga360"  ref: "07a20007b6876d349ccbcacccdc400f668fd8147f1"}

当用户保存此配置时，Looker 执行以下操作：

1. 克隆远程仓库到 /home/looker/looker/remote_dependencies/<project_name>/
2. 在 .git/config 中设置 hooksPath = ../../git_hooks/<remote_dependency_name>

2.2 关键发现：路径遍历

研究者检查 .git/config 文件时发现：

[core]    hooksPath = ../../git_hooks/poc_part_1    sshCommand = /home/looker/looker/deploy_keys/poc_part_1/git_ssh

关键问题：hooksPath 的值包含用户可控的 remote_dependency 名称，且未经路径遍历过滤。

攻击假设：

lookml

remote_dependency: ../../../../../../my_custom_hooks_folder {  url: "https://github.com/llooker/google_ga360"  ...}

将导致配置被写入：

hooksPath = ../../git_hooks/../../../../../../my_custom_hooks_folder→ 解析为 /my_custom_hooks_folder

这意味着攻击者可以将 Git hooks 路径指向文件系统任意位置。

2.3 完整攻击链

2.4 技术细节：三个关键利用原语

| 原语 | 技术细节 | 作用 | | — | — | — | | Primitive 1 | 路径遍历 | 控制 hooksPath 指向任意目录 | | Primitive 2 | Git 配置注入 | 通过 URL 换行符注入覆盖配置 | | Primitive 3 | 竞争条件创建目录 | 在目标位置创建攻击者控制的文件夹 |

目录创建技巧：

• Looker 使用 mkdir -p 创建目录
• 利用 "../" 序列绕过路径限制
• 通过 .git/hooks/../.. 实际在父目录创建文件夹

三、漏洞 #2：内部数据库访问 (CVE-2025-12743)

3.1 漏洞原理

Looker 使用”连接”（Connection）概念管理数据库访问。正常情况下：

• 用户只能看到自己创建的连接
• 内部连接（如 _internal、_embedded）应被隐藏

发现：通过构造特定请求对象，可以强制连接到内部数据库。

3.2 SQL 注入与数据外泄

攻击步骤：

3.3 关键请求示例

{"connection_name":"_internal","sql":"SELECT CONCAT(username, ':', password_hash) FROM internal_users WHERE id=1"}

绕过检查：

• Looker 前端 UI 会过滤 _ 开头的连接名
• 直接通过 API 请求发送可绕过此限制

四、漏洞影响评估

4.1 攻击场景

| 场景 | 影响 | 利用难度 | | — | — | — | | 本地部署 | 完全服务器控制 | 低（需要 LookML 编辑权限） | | Google Cloud SaaS | 潜在跨租户访问 | 中（需绕过隔离机制） | | 企业内网 | 横向渗透跳板 | 低（获得 Shell 后可扫描内网） |

4.2 风险等级

• CVSS 预估：9.8 (Critical)
• 利用条件：需要 Looker 开发权限（非普通查看用户）
• 攻击复杂度：中等（需要构造特定 LookML 配置）

五、参考信息

https://www.tenable.com/blog/google-looker-vulnerabilities-rce-internal-access-lookout

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 塑造者壹号 塑造者壹号《LookOut：Google Looker 双重漏洞深度技术分析》