安全公告

本页介绍了与 Google Cloud Observability 相关的所有安全公告。

GCP-2026-009

发布日期：2026-02-13

说明	严重程度	备注
2026 年 1 月之前的 Observability Analytics 用户界面版本可以配置为自动执行 SQL 查询。此漏洞可能会让攻击者精心编写查询网址，当拥有凭据的人员打开该网址时，攻击者可能会访问表内容或产生查询费用。该怎么做？用户无需采取任何行动。此漏洞已得到修复，受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，以防止恶意 SQL 在用户没有机会检查的情况下运行。解决了哪些漏洞？此漏洞可能会让攻击者在目标执行攻击者精心编写的 SQL 查询时，访问目标 Observability Analytics 或 BigQuery 表的有限内容。此漏洞利用 BigQuery 审核日志将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。Observability Analytics 接口会自动执行嵌入在网址中的查询，这会加剧此漏洞的危害，因为这会阻止目标在使用其凭据执行攻击者精心编写的查询之前对其进行检查。	高

说明

严重程度

备注

2026 年 1 月之前的 Observability Analytics 用户界面版本可以配置为自动执行 SQL 查询。此漏洞可能会让攻击者精心编写查询网址，当拥有凭据的人员打开该网址时，攻击者可能会访问表内容或产生查询费用。

该怎么做？

用户无需采取任何行动。此漏洞已得到修复，受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，以防止恶意 SQL 在用户没有机会检查的情况下运行。

解决了哪些漏洞？

此漏洞可能会让攻击者在目标执行攻击者精心编写的 SQL 查询时，访问目标 Observability Analytics 或 BigQuery 表的有限内容。

此漏洞利用 BigQuery 审核日志将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。Observability Analytics 接口会自动执行嵌入在网址中的查询，这会加剧此漏洞的危害，因为这会阻止目标在使用其凭据执行攻击者精心编写的查询之前对其进行检查。

高

发布日期：2026-01-28

说明	严重程度	备注
此漏洞会影响 Observability Analytics 界面和 Cloud Monitoring 信息中心界面版本，这些版本早于 2026 年 1 月。该怎么做？用户无需采取任何行动。受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，以防止恶意 SQL 在用户没有机会检查的情况下运行。解决了哪些漏洞？此漏洞可能会让攻击者在目标查看攻击者精心编写的信息中心时，访问目标 Observability Analytics 或 BigQuery 表的有限内容。此漏洞利用 BigQuery 元数据渠道将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。信息中心界面会自动执行查询以填充 SQL 支持的小部件，这会加剧此漏洞的危害，因为这会阻止目标在使用其凭据执行攻击者精心编写的查询之前对其进行检查。	高

说明

严重程度

备注

此漏洞会影响 Observability Analytics 界面和 Cloud Monitoring 信息中心界面版本，这些版本早于 2026 年 1 月。

该怎么做？

用户无需采取任何行动。受影响的用户界面已于 2026 年 1 月更新，其中包含干预点，以防止恶意 SQL 在用户没有机会检查的情况下运行。

解决了哪些漏洞？

此漏洞可能会让攻击者在目标查看攻击者精心编写的信息中心时，访问目标 Observability Analytics 或 BigQuery 表的有限内容。

此漏洞利用 BigQuery 元数据渠道将有关目标表内容的信息传递给攻击者控制的 Google Cloud 项目。信息中心界面会自动执行查询以填充 SQL 支持的小部件，这会加剧此漏洞的危害，因为这会阻止目标在使用其凭据执行攻击者精心编写的查询之前对其进行检查。

高