Platform
python
Component
google-adk
Opgelost in
1.28.2
2.0.0a2
1.28.1
1.28.1
CVE-2026-4810 is een ernstige Code Injection en Missing Authentication kwetsbaarheid in de Google Agent Development Kit (ADK). Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige code uit te voeren op de server waarop de ADK-instantie draait, wat kan leiden tot volledige controle over het systeem. De kwetsbaarheid treft versies van ADK tot en met 1.9.0, en is verholpen in versie 1.28.1 en 2.0.0a2. Het wordt aanbevolen om zo snel mogelijk te upgraden.
Een kritieke kwetsbaarheid (CVE-2026-4810) is geïdentificeerd in de Agent Development Kit (ADK) van Google, die versies van 1.7.0 tot 1.28.1 en 2.0.0a1 tot 2.0.0a2 treft. Deze kwetsbaarheid combineert een code-injectie en een ontbreken van authenticatie, waardoor een niet-geauthenticeerde externe aanvaller willekeurige code kan uitvoeren op de server die de ADK-instantie host. De ernst van deze kwetsbaarheid wordt beoordeeld als 9,5 op de CVSS-schaal, wat een hoog risico aangeeft. De potentiële impact omvat de overname van de server, diefstal van gevoelige gegevens en verstoring van diensten. Het is cruciaal om deze kwetsbaarheid onmiddellijk aan te pakken om uw systemen te beschermen.
De kwetsbaarheid wordt uitgebuit door misbruik te maken van het ontbreken van authenticatie in bepaalde ADK API-endpoints. Een externe aanvaller kan kwaadaardige verzoeken sturen die bedoeld zijn om code op de server te injecteren. Vanwege het ontbreken van geschikte authenticatiemiddelen kunnen deze verzoeken worden uitgevoerd zonder geldige inloggegevens. De uitvoering van willekeurige code stelt de aanvaller in staat de controle over de server over te nemen en ongeautoriseerde acties uit te voeren. De externe aard van de kwetsbaarheid en de eenvoud van uitbuiting maken dit tot een belangrijk probleem voor ADK-gebruikers.
Organizations utilizing Google ADK in production environments, particularly those deploying on Cloud Run or GKE, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through one user's ADK instance to compromise the entire server.
• python / server:
Get-Process -Name google-adk | Select-Object -ExpandProperty Path• python / server:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Google ADK'"• generic web: Use curl to probe the ADK endpoint. Check for any unexpected behavior or error messages when sending unauthenticated requests.
curl -I <ADK_ENDPOINT>disclosure
Exploit Status
EPSS
0.35% (58% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 1.28.1 of 2.0.0a2 van de ADK. Klanten worden ten zeerste aangeraden om deze bijgewerkte versies onmiddellijk in hun productieomgevingen te implementeren. Als u ADK Web lokaal gebruikt, zorg er dan ook voor dat die instantie wordt bijgewerkt. Google raadt aan de release notes te raadplegen voor gedetailleerde instructies over het upgrade-proces. Het toepassen van deze updates is essentieel om het risico op uitbuiting te beperken en uw systemen te beschermen tegen aanvallen.
Actualice la ADK a la versión 1.28.2 o superior para mitigar la vulnerabilidad de ejecución remota de código. Asegúrese de actualizar tanto las instancias de producción como las instalaciones locales de ADK Web.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Getroffen versies zijn van 1.7.0 tot 1.28.1 en 2.0.0a1 tot 2.0.0a2.
Werk bij naar versie 1.28.1 of 2.0.0a2. Raadpleeg de release notes voor gedetailleerde instructies.
Zorg ervoor dat uw ADK Web-instantie ook wordt bijgewerkt naar de nieuwste versie.
Er is een aanzienlijk risico dat een externe aanvaller willekeurige code op uw server kan uitvoeren, waardoor de beveiliging van uw gegevens en systemen in gevaar komt.
Tijdelijke oplossingen worden niet aanbevolen. Het bijwerken naar de nieuwste versie is de enige effectieve oplossing.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.