HackerNews 编译，转载请注明出处： 网络安全公司 Tenable 的研究人员发现两款漏洞，攻击者可利用其完全攻陷 Google Looker 商业智能平台实例。 Google Looker 可助力企业将分散数据集整合至统一数据层，进而构建实时可视化报表、交互式仪表盘及数据驱动型应用。 企业可选择 Google Cloud 完全托管的软件即服务（SaaS）版本，也可将 Looker 实例部署在自有基础设施上（自托管模式）。 Tenable 研究人员发现，影响该平台的两个漏洞一旦被利用，可能导致远程代码执行与敏感数据遭窃。这两个漏洞被统称为“LookOut”，攻击者只需拥有目标 Looker 实例的开发者权限即可利用。 据 Tenable 介绍，其中远程代码执行漏洞可让攻击者获取底层基础设施的完整管理员权限，攻击者可借此窃取密钥信息、篡改数据，或进一步向内网渗透。 Tenable 解释道：“在云托管实例场景下，该漏洞或引发跨租户访问风险。” 至于第二款漏洞，该安全厂商将其定义为 “权限绕过漏洞 —— 攻击者可借助该漏洞接入 Looker 内部数据库连接，通过基于错误的 SQL 注入窃取完整的内部 MySQL 数据库数据。” 谷歌已于 2025 年 9 月下旬修复了这些漏洞。谷歌已为旗下云托管实例完成补丁部署，但自托管实例用户需自行确认已升级至修复版本。 谷歌表示，目前未发现该漏洞存在在野利用的相关证据。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文