安全公告

本页介绍了与 Google Cloud Observability 相关的所有安全公告。

GCP-2026-009

发布日期：2026-02-13

说明	严重程度	备注
2026 年 1 月之前的 Log Analytics 界面版本可以配置为自动执行 SQL 查询。此漏洞可让攻击者精心设计查询网址，当具有凭据的用户打开该网址时，攻击者便可访问表内容或产生查询费用。该怎么做？用户无需采取任何行动。该漏洞已得到修补，并且受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，可防止恶意 SQL 在用户没有机会检查的情况下运行。解决了哪些漏洞？当目标用户执行攻击者精心设计的 SQL 查询时，攻击者可利用此漏洞访问目标用户的 Log Analytics 或 BigQuery 表的有限内容。该漏洞利用 BigQuery 审核日志将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。Log Analytics 接口会自动执行嵌入在网址中的查询，这加剧了该漏洞的严重程度，因为这会阻止目标用户在使用其凭据执行攻击者精心设计的查询之前检查该查询。	高

说明

严重程度

备注

2026 年 1 月之前的 Log Analytics 界面版本可以配置为自动执行 SQL 查询。此漏洞可让攻击者精心设计查询网址，当具有凭据的用户打开该网址时，攻击者便可访问表内容或产生查询费用。

该怎么做？

用户无需采取任何行动。该漏洞已得到修补，并且受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，可防止恶意 SQL 在用户没有机会检查的情况下运行。

解决了哪些漏洞？

当目标用户执行攻击者精心设计的 SQL 查询时，攻击者可利用此漏洞访问目标用户的 Log Analytics 或 BigQuery 表的有限内容。

该漏洞利用 BigQuery 审核日志将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。Log Analytics 接口会自动执行嵌入在网址中的查询，这加剧了该漏洞的严重程度，因为这会阻止目标用户在使用其凭据执行攻击者精心设计的查询之前检查该查询。

高

发布日期：2026-01-28

说明	严重程度	备注
此漏洞会影响 2026 年 1 月之前的 Log Analytics 界面和 Cloud Monitoring 信息中心界面版本。该怎么做？用户无需采取任何行动。受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，可防止恶意 SQL 在用户没有机会检查的情况下运行。解决了哪些漏洞？此漏洞使攻击者能够在目标用户查看攻击者精心制作的信息中心时，访问目标用户的 Log Analytics 或 BigQuery 表中的有限内容。该漏洞利用 BigQuery 元数据渠道将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。信息中心界面会自动执行查询来填充 SQL 支持的 widget，这加剧了漏洞的严重程度，因为这会阻止目标用户在执行攻击者精心设计的查询之前使用自己的凭据检查该查询。	高

说明

严重程度

备注

此漏洞会影响 2026 年 1 月之前的 Log Analytics 界面和 Cloud Monitoring 信息中心界面版本。

该怎么做？

用户无需采取任何行动。受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，可防止恶意 SQL 在用户没有机会检查的情况下运行。

解决了哪些漏洞？

此漏洞使攻击者能够在目标用户查看攻击者精心制作的信息中心时，访问目标用户的 Log Analytics 或 BigQuery 表中的有限内容。

该漏洞利用 BigQuery 元数据渠道将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。信息中心界面会自动执行查询来填充 SQL 支持的 widget，这加剧了漏洞的严重程度，因为这会阻止目标用户在执行攻击者精心设计的查询之前使用自己的凭据检查该查询。

高