PT-2025-45605 · Google · Looker
Tomas Lažauninkas
·
Publicado
2025-11-10
·
Atualizado
2025-11-12
·
CVE-2025-12155
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:P/PR:H/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:X/V:X/RE:X/U:Red |
Nome do Software Vulnerável e Versões Afetadas
Versões do Looker 24.12.100 e posteriores
Versões do Looker 24.18.192 e posteriores
Versões do Looker 25.0.69 e posteriores
Versões do Looker 25.6.57 e posteriores
Versões do Looker 25.8.39 e posteriores
Versões do Looker 25.10.22 e posteriores
Descrição
O software contém um problema de Injeção de Comando decorrente de sanitização inadequada de caminho de arquivo, também conhecido como Traversal de Diretório. Um atacante com permissão de Desenvolvedor pode executar comandos shell arbitrários quando um usuário é excluído no sistema hospedeiro. Isso afeta tanto instâncias hospedadas pela Looker quanto instâncias auto-hospedadas. As instâncias hospedadas pela Looker já foram mitigadas, não exigindo ação do usuário. O problema está relacionado ao tratamento inadequado de caminhos de arquivo durante a exclusão de usuário, potencialmente permitindo que um atacante atravesse diretórios e execute comandos no sistema subjacente. A vulnerabilidade é acionada quando um usuário com permissões de Desenvolvedor inicia um processo de exclusão de usuário.
Recomendações
Atualize para a versão do Looker 24.12.100 ou posterior.
Atualize para a versão do Looker 24.18.192 ou posterior.
Atualize para a versão do Looker 25.0.69 ou posterior.
Atualize para a versão do Looker 25.6.57 ou posterior.
Atualize para a versão do Looker 25.8.39 ou posterior.
Atualize para a versão do Looker 25.10.22 ou posterior.
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Looker