Liv Matan

**Nome do Software Vulnerável e Versões Afetadas** Versões do Looker anteriores a 24.12.106 Versões do Looker de 24.12.106 até 24.18.198 Versões do Looker anteriores a 25.0.75 Versões do Looker de 25.0.75 até 25.6.63 Versões do Looker anteriores a 25.6.63 Versões do Looker de 25.6.63 até 25.8.45 Versões do Looker anteriores a 25.8.45 Versões do Looker de 25.8.45 até 25.10.33 Versões do Looker anteriores a 25.10.33 Versões do Looker de 25.10.33 até 25.12.1 Versões do Looker anteriores a 25.12.1 Versões do Looker de 25.12.1 até 25.14 Versões do Looker anteriores a 25.14 **Descrição** O endpoint do Looker usado para criar novos projetos a partir de conexões de banco de dados permite a especificação de "looker" como um nome de conexão, que é um nome reservado para o banco de dados MySQL interno do Looker. O parâmetro `schemas` é suscetível a injeção de SQL, permitindo a manipulação de consultas SELECT executadas contra o banco de dados MySQL interno. Isso permite que usuários com permissões de desenvolvedor extraiam dados do banco de dados MySQL interno do Looker. O endpoint da API envolvido é o endpoint de geração de projetos. O parâmetro vulnerável é `schemas`. **Recomendações** Versões anteriores a 24.12.106 devem ser atualizadas. Versões de 24.12.106 até 24.18.198 devem ser atualizadas. Versões anteriores a 25.0.75 devem ser atualizadas. Versões de 25.0.75 até 25.6.63 devem ser atualizadas. Versões anteriores a 25.6.63 devem ser atualizadas. Versões de 25.6.63 até 25.8.45 devem ser atualizadas. Versões anteriores a 25.8.45 devem ser atualizadas. Versões de 25.8.45 até 25.10.33 devem ser atualizadas. Versões anteriores a 25.10.33 devem ser atualizadas. Versões de 25.10.33 até 25.12.1 devem ser atualizadas. Versões anteriores a 25.12.1 devem ser atualizadas. Versões de 25.12.1 até 25.14 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Looker Studio anteriores a 21 de julho de 2025 **Descrição** Existe uma vulnerabilidade de injeção de SQL no Looker Studio. Um usuário com acesso de visualização de relatório pode injetar código SQL malicioso que é executado com as permissões do proprietário do relatório. Isso afeta relatórios que utilizam o BigQuery como fonte de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Looker Studio anteriores a 07 de julho de 2025 **Descrição** Foi identificada uma vulnerabilidade de injeção de SQL no Looker Studio, potencialmente permitindo a exfiltração não autorizada de dados de fontes de dados do BigQuery. Um atacante poderia criar um relatório malicioso com funções nativas habilitadas. Quando uma vítima acessa este relatório, o atacante poderia executar consultas SQL injetadas usando as permissões da vítima dentro do BigQuery. O endpoint da API utilizado para este ataque não é especificado. O parâmetro vulnerável não é especificado. A função `executeSQL()` está potencialmente envolvida. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Looker Studio (versões afetadas não especificadas) **Descrição** Um problema de gerenciamento impróprio de privilégios foi identificado no Looker Studio, afetando todos os conectores baseados em JDBC. Um usuário do Looker Studio com acesso de visualização de relatório poderia criar uma cópia de um relatório e executar consultas SQL arbitrárias no banco de dados da fonte de dados, devido às credenciais armazenadas associadas ao relatório. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.