安全性公告

本頁面說明與 Google Cloud Observability 相關的所有安全性公告。

GCP-2026-009

發布日期：2026 年 2 月 13 日

說明	嚴重性	附註
2026 年 1 月之前的 Log Analytics 使用者介面版本可設定為自動執行 SQL 查詢。攻擊者可利用這項漏洞製作查詢網址，如果有人使用憑證開啟該網址，攻擊者就能存取表格內容或產生查詢費用。我該怎麼做？使用者不必採取任何行動，我們已修復這項安全漏洞，並在 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查機會的情況下執行。這個修補程式修正了哪些安全漏洞？當目標執行攻擊者製作的 SQL 查詢時，攻擊者可利用這項弱點存取目標的 Log Analytics 或 BigQuery 資料表中的有限內容。這項安全漏洞會利用 BigQuery 稽核記錄，將目標資料表內容的相關資訊傳送至攻擊者控管的 Google Cloud 專案。Log Analytics 介面會自動執行內嵌在網址中的查詢，導致目標無法在執行攻擊者製作的查詢前檢查，因此加劇了這項安全漏洞。	高

說明

嚴重性

附註

2026 年 1 月之前的 Log Analytics 使用者介面版本可設定為自動執行 SQL 查詢。攻擊者可利用這項漏洞製作查詢網址，如果有人使用憑證開啟該網址，攻擊者就能存取表格內容或產生查詢費用。

我該怎麼做？

使用者不必採取任何行動，我們已修復這項安全漏洞，並在 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查機會的情況下執行。

這個修補程式修正了哪些安全漏洞？

當目標執行攻擊者製作的 SQL 查詢時，攻擊者可利用這項弱點存取目標的 Log Analytics 或 BigQuery 資料表中的有限內容。

這項安全漏洞會利用 BigQuery 稽核記錄，將目標資料表內容的相關資訊傳送至攻擊者控管的 Google Cloud 專案。Log Analytics 介面會自動執行內嵌在網址中的查詢，導致目標無法在執行攻擊者製作的查詢前檢查，因此加劇了這項安全漏洞。

高

發布日期：2026-01-28

說明	嚴重性	附註
這項安全漏洞會影響 2026 年 1 月前的 Log Analytics 介面和 Cloud Monitoring 資訊主頁介面版本。我該怎麼做？使用者不必採取任何行動，我們已於 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查的機會下執行。這個修補程式修正了哪些安全漏洞？如果目標使用者查看攻擊者製作的資訊主頁，攻擊者就能利用這項弱點存取目標使用者 Log Analytics 或 BigQuery 資料表的部分內容。這項安全漏洞會利用 BigQuery 中繼資料管道，將目標資料表內容的相關資訊傳送至攻擊者控制的 Google Cloud 專案。由於資訊主頁介面會自動執行查詢，以填入 SQL 支援的小工具，因此目標在以自己的憑證執行查詢前，無法檢查攻擊者製作的查詢，這也加劇了這項安全漏洞的影響。	高

說明

嚴重性

附註

這項安全漏洞會影響 2026 年 1 月前的 Log Analytics 介面和 Cloud Monitoring 資訊主頁介面版本。

我該怎麼做？

使用者不必採取任何行動，我們已於 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查的機會下執行。

這個修補程式修正了哪些安全漏洞？

如果目標使用者查看攻擊者製作的資訊主頁，攻擊者就能利用這項弱點存取目標使用者 Log Analytics 或 BigQuery 資料表的部分內容。

這項安全漏洞會利用 BigQuery 中繼資料管道，將目標資料表內容的相關資訊傳送至攻擊者控制的 Google Cloud 專案。由於資訊主頁介面會自動執行查詢，以填入 SQL 支援的小工具，因此目標在以自己的憑證執行查詢前，無法檢查攻擊者製作的查詢，這也加劇了這項安全漏洞的影響。

高