Plataforma
python
Componente
google-adk
Corrigido em
1.28.2
2.0.0a2
1.28.1
1.28.1
A vulnerabilidade CVE-2026-4810 é uma falha de injeção de código e falta de autenticação identificada no Google Agent Development Kit (ADK). Essa falha permite que um atacante remoto não autenticado execute código arbitrário no servidor que hospeda a instância do ADK, comprometendo a segurança do sistema. As versões afetadas incluem 1.7.0 (e 2.0.0a1) até 1.28.1 (e 2.0.0a2), e a correção foi implementada nas versões 1.28.1 e 2.0.0a2.
Uma vulnerabilidade crítica (CVE-2026-4810) foi identificada no Kit de Desenvolvimento de Agentes (ADK) do Google, afetando as versões de 1.7.0 a 1.28.1 e 2.0.0a1 a 2.0.0a2. Esta vulnerabilidade combina uma injeção de código e uma falta de autenticação, permitindo que um atacante remoto não autenticado execute código arbitrário no servidor que hospeda a instância do ADK. A severidade desta vulnerabilidade é classificada como 9.5 na escala CVSS, indicando um alto risco. O impacto potencial inclui a tomada de controle do servidor, roubo de dados confidenciais e interrupção dos serviços. É crucial abordar esta vulnerabilidade imediatamente para proteger seus sistemas.
A vulnerabilidade é explorada aproveitando a falta de autenticação em determinados pontos de API do ADK. Um atacante remoto pode enviar solicitações maliciosas projetadas para injetar código no servidor. Devido à ausência de controles de autenticação adequados, essas solicitações podem ser executadas sem a necessidade de credenciais válidas. A execução de código arbitrário permite que o atacante assuma o controle do servidor e realize ações não autorizadas. A natureza remota da vulnerabilidade e a facilidade de exploração a tornam uma preocupação significativa para os usuários do ADK.
Organizations utilizing Google ADK in production environments, particularly those deploying on Cloud Run or GKE, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through one user's ADK instance to compromise the entire server.
• python / server:
Get-Process -Name google-adk | Select-Object -ExpandProperty Path• python / server:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Google ADK'"• generic web: Use curl to probe the ADK endpoint. Check for any unexpected behavior or error messages when sending unauthenticated requests.
curl -I <ADK_ENDPOINT>disclosure
Status do Exploit
EPSS
0.35% (percentil 58%)
CISA SSVC
A solução para esta vulnerabilidade é atualizar para a versão 1.28.1 ou 2.0.0a2 do ADK. Recomenda-se fortemente que os clientes implantem essas versões atualizadas em seus ambientes de produção imediatamente. Além disso, se você estiver usando o ADK Web localmente, certifique-se de que essa instância também seja atualizada. O Google recomenda revisar as notas de lançamento para obter instruções detalhadas sobre o processo de atualização. A aplicação dessas atualizações é essencial para mitigar o risco de exploração e proteger seus sistemas contra ataques.
Actualice la ADK a la versión 1.28.2 o superior para mitigar la vulnerabilidad de ejecución remota de código. Asegúrese de actualizar tanto las instancias de producción como las instalaciones locales de ADK Web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões afetadas são de 1.7.0 a 1.28.1 e 2.0.0a1 a 2.0.0a2.
Atualize para a versão 1.28.1 ou 2.0.0a2. Consulte as notas de lançamento para obter instruções detalhadas.
Certifique-se de que sua instância do ADK Web também seja atualizada para a versão mais recente.
Existe um alto risco de que um atacante remoto possa executar código arbitrário em seu servidor, comprometendo a segurança de seus dados e sistemas.
Não são recomendadas soluções temporárias. A atualização para a versão mais recente é a única solução eficaz.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.