Plataforma
other
Componente
looker-studio
Corregido en
2025-07-21
Se ha identificado una vulnerabilidad de gestión de privilegios en Looker Studio, específicamente en los conectores basados en JDBC. Esta falla permite a un usuario con acceso de visualización de informes copiar un informe y ejecutar consultas SQL arbitrarias directamente en la base de datos de la fuente de datos, aprovechando las credenciales almacenadas en el informe. La vulnerabilidad afectó a las versiones de Looker Studio anteriores al 21 de julio de 2025, pero se solucionó en esa fecha.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante con acceso de visualización de informes comprometer la seguridad de la base de datos subyacente. Un atacante podría extraer datos sensibles, modificar información o incluso ejecutar comandos en el sistema de base de datos, dependiendo de los permisos asignados a la cuenta utilizada por el conector JDBC. La capacidad de ejecutar SQL arbitrario abre la puerta a una amplia gama de ataques, incluyendo la exfiltración de datos confidenciales, la manipulación de registros y la posible toma de control del sistema de base de datos. Esta vulnerabilidad es similar en concepto a otras vulnerabilidades de inyección SQL, donde la falta de validación adecuada de la entrada del usuario permite la ejecución de código malicioso.
Esta vulnerabilidad fue publicada el 10 de noviembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas. La probabilidad de explotación activa es actualmente baja, pero se recomienda aplicar la mitigación lo antes posible para reducir el riesgo. La vulnerabilidad se centra en la gestión de privilegios dentro de Looker Studio y su interacción con los conectores JDBC.
Organizations using Looker Studio with JDBC-based connectors are at risk, particularly those with sensitive data stored in the connected databases. Environments where report view access is granted broadly, or where JDBC connectors are configured with overly permissive credentials, are at higher risk.
disclosure
patch
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
La solución principal para esta vulnerabilidad es actualizar Looker Studio a la versión 2025-07-21 o posterior, donde se ha implementado la corrección. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los permisos de acceso a los informes y restringir el acceso de visualización solo a aquellos usuarios que realmente lo necesiten. Además, se debe auditar regularmente los informes para identificar cualquier actividad sospechosa. Aunque no hay reglas WAF específicas disponibles, se puede implementar una política de seguridad que limite la ejecución de consultas SQL complejas o potencialmente peligrosas desde Looker Studio. Verifique que la actualización se haya completado correctamente comprobando la versión de Looker Studio después de la actualización.
Google ha parcheado esta vulnerabilidad. No se requiere ninguna acción por parte del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Es una vulnerabilidad de gestión de privilegios en Looker Studio que permite la ejecución de SQL arbitrario en la base de datos a través de conectores JDBC, afectando a versiones anteriores al 21 de julio de 2025.
Si utiliza Looker Studio con conectores JDBC y su versión es anterior al 21 de julio de 2025, es probable que esté afectado. Verifique su versión actual.
Actualice Looker Studio a la versión 2025-07-21 o posterior. Revise y restrinja los permisos de acceso a los informes.
Actualmente no se han reportado casos de explotación activa, pero se recomienda aplicar la mitigación para reducir el riesgo.
Consulte el sitio web oficial de Looker Studio o su documentación de seguridad para obtener información detallada sobre la vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.