安全性公告

本頁面說明與 Google Cloud Observability 相關的所有安全性公告。

GCP-2026-009

發布日期：2026 年 2 月 13 日

說明	嚴重性	附註
2026 年 1 月前版本的 Observability Analytics 使用者介面可設定為自動執行 SQL 查詢。攻擊者可利用這項安全漏洞製作查詢網址，如果有人使用認證開啟該網址，攻擊者就能存取資料表內容或產生查詢費用。我該怎麼做？使用者不必採取任何行動，我們已修復這項安全漏洞，並在 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查機會的情況下執行。這個修補程式修正了哪些安全漏洞？如果目標執行攻擊者製作的 SQL 查詢，攻擊者就能利用這項安全漏洞，存取目標的 Observability Analytics 或 BigQuery 資料表中的有限內容。這項安全漏洞會利用 BigQuery 稽核記錄，將目標資料表的內容資訊傳送至攻擊者控管的 Google Cloud 專案。Observability Analytics 介面會自動執行嵌入網址的查詢，導致目標無法在執行攻擊者製作的查詢前檢查，因此加劇了這項安全漏洞。	高

說明

嚴重性

附註

2026 年 1 月前版本的 Observability Analytics 使用者介面可設定為自動執行 SQL 查詢。攻擊者可利用這項安全漏洞製作查詢網址，如果有人使用認證開啟該網址，攻擊者就能存取資料表內容或產生查詢費用。

我該怎麼做？

使用者不必採取任何行動，我們已修復這項安全漏洞，並在 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查機會的情況下執行。

這個修補程式修正了哪些安全漏洞？

如果目標執行攻擊者製作的 SQL 查詢，攻擊者就能利用這項安全漏洞，存取目標的 Observability Analytics 或 BigQuery 資料表中的有限內容。

這項安全漏洞會利用 BigQuery 稽核記錄，將目標資料表的內容資訊傳送至攻擊者控管的 Google Cloud 專案。Observability Analytics 介面會自動執行嵌入網址的查詢，導致目標無法在執行攻擊者製作的查詢前檢查，因此加劇了這項安全漏洞。

高

發布日期：2026-01-28

說明	嚴重性	附註
這項安全漏洞會影響 2026 年 1 月前的 Observability Analytics 介面和 Cloud Monitoring 資訊主頁介面版本。我該怎麼做？使用者不必採取任何行動，我們已於 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查的機會下執行。這個修補程式修正了哪些安全漏洞？如果目標對象查看攻擊者製作的資訊主頁，攻擊者就能利用這項安全漏洞存取目標對象的 Observability Analytics 或 BigQuery 資料表內容 (僅限部分)。這項安全漏洞會利用 BigQuery 中繼資料管道，將目標資料表內容的相關資訊傳送至攻擊者控制的 Google Cloud 專案。此外，資訊主頁介面會自動執行查詢，填入 SQL 支援的小工具，這會加劇此安全漏洞，因為目標在以自己的憑證執行查詢前，無法檢查攻擊者製作的查詢。	高

說明

嚴重性

附註

這項安全漏洞會影響 2026 年 1 月前的 Observability Analytics 介面和 Cloud Monitoring 資訊主頁介面版本。

我該怎麼做？

使用者不必採取任何行動，我們已於 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查的機會下執行。

這個修補程式修正了哪些安全漏洞？

如果目標對象查看攻擊者製作的資訊主頁，攻擊者就能利用這項安全漏洞存取目標對象的 Observability Analytics 或 BigQuery 資料表內容 (僅限部分)。

這項安全漏洞會利用 BigQuery 中繼資料管道，將目標資料表內容的相關資訊傳送至攻擊者控制的 Google Cloud 專案。此外，資訊主頁介面會自動執行查詢，填入 SQL 支援的小工具，這會加劇此安全漏洞，因為目標在以自己的憑證執行查詢前，無法檢查攻擊者製作的查詢。

高