プラットフォーム
python
コンポーネント
google-adk
修正版
1.28.2
2.0.0a2
1.28.1
1.28.1
CVE-2026-4810 is a critical code injection and missing authentication vulnerability discovered in Google Agent Development Kit (ADK) versions 1.7.0 through 1.28.1, and 2.0.0a1 and 2.0.0a2. This flaw allows an unauthenticated remote attacker to execute arbitrary code on the server hosting the ADK instance. Affected versions include those running on Python (OSS), Cloud Run, and GKE. A patch is available in versions 1.28.1 and 2.0.0a2.
GoogleのAgent Development Kit (ADK)において、深刻な脆弱性 (CVE-2026-4810) が発見されました。影響を受けるバージョンは、1.7.0から1.28.1、および2.0.0a1から2.0.0a2です。この脆弱性は、コードインジェクションと認証の欠如を組み合わせたもので、認証されていないリモート攻撃者が、ADKインスタンスをホストしているサーバー上で任意のコードを実行することを可能にします。この脆弱性の深刻度は、CVSSスケールで9.5と評価されており、高いリスクを示しています。潜在的な影響には、サーバーの乗っ取り、機密データの窃盗、サービスの停止などが含まれます。システムを保護するために、この脆弱性を直ちに修正することが不可欠です。
この脆弱性は、ADK APIのエンドポイントにおける認証の欠如を利用して悪用されます。リモート攻撃者は、サーバーにコードを注入するように設計された悪意のあるリクエストを送信できます。適切な認証制御がないため、これらのリクエストは有効な資格情報なしで実行できます。任意のコードの実行により、攻撃者はサーバーを制御し、不正なアクションを実行できます。この脆弱性のリモート性および容易な悪用により、ADKユーザーにとって重大な懸念事項となっています。
Organizations utilizing Google ADK in production environments, particularly those deploying on Cloud Run or GKE, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through one user's ADK instance to compromise the entire server.
• python / server:
Get-Process -Name google-adk | Select-Object -ExpandProperty Path• python / server:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Google ADK'"• generic web: Use curl to probe the ADK endpoint. Check for any unexpected behavior or error messages when sending unauthenticated requests.
curl -I <ADK_ENDPOINT>disclosure
エクスプロイト状況
EPSS
0.35% (58% パーセンタイル)
CISA SSVC
この脆弱性に対する解決策は、ADKをバージョン1.28.1または2.0.0a2にアップグレードすることです。顧客は、これらの更新されたバージョンをすぐに本番環境にデプロイすることを強く推奨します。また、ADK Webをローカルで実行している場合は、そのインスタンスも更新されていることを確認してください。詳細なアップグレード手順については、リリースノートを参照することをお勧めします。これらの更新を適用することは、悪用のリスクを軽減し、システムを攻撃から保護するために不可欠です。
Actualice la ADK a la versión 1.28.2 o superior para mitigar la vulnerabilidad de ejecución remota de código. Asegúrese de actualizar tanto las instancias de producción como las instalaciones locales de ADK Web.
脆弱性分析と重要アラートをメールでお届けします。
影響を受けるバージョンは、1.7.0から1.28.1、および2.0.0a1から2.0.0a2です。
バージョン1.28.1または2.0.0a2にアップグレードしてください。詳細な手順については、リリースノートを参照してください。
ADK Webインスタンスも最新バージョンに更新されていることを確認してください。
リモート攻撃者がサーバー上で任意のコードを実行し、データとシステムのセキュリティを損なうリスクがあります。
一時的な回避策は推奨されません。最新バージョンにアップグレードすることが唯一の効果的な解決策です。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。