CRITICALCVE-2026-4810CVSS 9.5

Google Agent Development Kit (ADK) 存在代码注入和缺失身份验证漏洞

平台

python

组件

google-adk

修复版本

1.28.2

2.0.0a2

1.28.1

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-4810 is a critical code injection and missing authentication vulnerability discovered in Google Agent Development Kit (ADK) versions 1.7.0 through 1.28.1, and 2.0.0a1 and 2.0.0a2. This flaw allows an unauthenticated remote attacker to execute arbitrary code on the server hosting the ADK instance. Affected versions include those running on Python (OSS), Cloud Run, and GKE. A patch is available in versions 1.28.1 and 2.0.0a2.

影响与攻击场景

Google的Agent Development Kit (ADK) 中发现了一个关键漏洞 (CVE-2026-4810)，影响版本从 1.7.0 到 1.28.1 以及 2.0.0a1 到 2.0.0a2。此漏洞结合了代码注入和身份验证缺失的问题，允许未经身份验证的远程攻击者在托管 ADK 实例的服务器上执行任意代码。此漏洞的严重程度在 CVSS 规模上评为 9.5，表明存在高风险。潜在影响包括服务器接管、窃取敏感数据和服务中断。为了保护您的系统，必须立即解决此漏洞。

利用背景

此漏洞通过利用 ADK API 中某些端点中身份验证的缺失来利用。远程攻击者可以发送旨在将代码注入到服务器上的恶意请求。由于缺乏适当的身份验证控制，这些请求可以在没有有效凭证的情况下执行。任意代码的执行允许攻击者控制服务器并执行未经授权的操作。此漏洞的远程性质和易用性使其成为 ADK 用户的重大问题。

哪些人处于风险中翻译中…

Organizations utilizing Google ADK in production environments, particularly those deploying on Cloud Run or GKE, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through one user's ADK instance to compromise the entire server.

检测步骤翻译中…

• python / server:

Get-Process -Name google-adk | Select-Object -ExpandProperty Path

• python / server:

Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Google ADK'"

• generic web: Use curl to probe the ADK endpoint. Check for any unexpected behavior or error messages when sending unauthenticated requests.

curl -I <ADK_ENDPOINT>

攻击时间线

2026-04-13Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.35% (58% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

受影响的软件

组件google-adk

供应商osv

影响范围修复版本

1.7.0 – 1.28.11.28.2

2.0.0a1 – 2.0.0a22.0.0a2

—1.28.1

1.7.01.28.1

弱点分类 (CWE)

CWE-306

时间线

已保留2026-03-25
发布日期2026-04-13
修改日期2026-04-14
EPSS 更新日期2026-04-20

披露后-10天发布补丁

缓解措施和替代方案

此漏洞的解决方案是将 ADK 升级到 1.28.1 或 2.0.0a2 版本。强烈建议客户立即将这些更新后的版本部署到生产环境中。此外，如果您在本地运行 ADK Web，请确保也更新了该实例。Google 建议查阅发行说明以获取有关升级过程的详细说明。应用这些更新对于减轻利用风险并保护您的系统免受攻击至关重要。

修复方法翻译中…

Actualice la ADK a la versión 1.28.2 o superior para mitigar la vulnerabilidad de ejecución remota de código. Asegúrese de actualizar tanto las instancias de producción como las instalaciones locales de ADK Web.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4810 是什么 — google-adk 中的漏洞？

受影响的版本是从 1.7.0 到 1.28.1 以及 2.0.0a1 到 2.0.0a2。

google-adk 中的 CVE-2026-4810 是否会影响我？

升级到 1.28.1 或 2.0.0a2 版本。请参阅发行说明以获取详细说明。

如何修复 google-adk 中的 CVE-2026-4810？

确保您的 ADK Web 实例也更新到最新版本。

CVE-2026-4810 是否正在被积极利用？

远程攻击者可能会在您的服务器上执行任意代码，从而危及您的数据和系统的安全。

在哪里可以找到 google-adk 关于 CVE-2026-4810 的官方安全通告？

不建议使用任何临时解决方法。升级到最新版本是唯一有效的解决方案。