Google Agent Development Kit (ADK) में कोड इंजेक्शन और छूटी हुई प्रमाणीकरण भेद्यता है

Google के एजेंट डेवलपमेंट किट (ADK) में एक गंभीर भेद्यता (CVE-2026-4810) की पहचान की गई है, जो संस्करण 1.7.0 से 1.28.1 और 2.0.0a1 से 2.0.0a2 तक के संस्करणों को प्रभावित करती है। यह भेद्यता कोड इंजेक्शन और प्रमाणीकरण की कमी को जोड़ती है, जिससे एक अनधिकृत दूरस्थ हमलावर ADK उदाहरण की मेजबानी करने वाले सर्वर पर मनमाना कोड निष्पादित कर सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 9.5 के रूप में रेट किया गया है, जो उच्च जोखिम दर्शाता है। संभावित प्रभाव में सर्वर का अधिग्रहण, संवेदनशील डेटा की चोरी और सेवाओं में व्यवधान शामिल हैं। अपने सिस्टम को सुरक्षित करने के लिए इस भेद्यता को तुरंत संबोधित करना महत्वपूर्ण है।

Organizations utilizing Google ADK in production environments, particularly those deploying on Cloud Run or GKE, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through one user's ADK instance to compromise the entire server.

• python / server:

Get-Process -Name google-adk | Select-Object -ExpandProperty Path

• python / server:

Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Google ADK'"

• generic web: Use curl to probe the ADK endpoint. Check for any unexpected behavior or error messages when sending unauthenticated requests.

curl -I <ADK_ENDPOINT>

1. 2026-04-13Disclosure

   disclosure

1. आरक्षित2026-03-25
2. प्रकाशित2026-04-13
3. संशोधित2026-04-14
4. EPSS अद्यतन2026-04-20

इस भेद्यता के लिए समाधान ADK को संस्करण 1.28.1 या 2.0.0a2 में अपडेट करना है। ग्राहकों को दृढ़ता से सलाह दी जाती है कि वे इन अद्यतन संस्करणों को तुरंत अपने उत्पादन वातावरण में तैनात करें। इसके अतिरिक्त, यदि आप ADK वेब को स्थानीय रूप से चला रहे हैं, तो सुनिश्चित करें कि उस उदाहरण को भी अपडेट किया गया है। विस्तृत अपडेट निर्देशों के लिए रिलीज़ नोट्स देखें। इन अपडेट को लागू करना शोषण के जोखिम को कम करने और अपने सिस्टम को हमलों से बचाने के लिए आवश्यक है।