CVE-2025-12743

Nome do Software Vulnerável e Versões Afetadas Versões do Looker anteriores a 24.12.106 Versões do Looker de 24.12.106 até 24.18.198 Versões do Looker anteriores a 25.0.75 Versões do Looker de 25.0.75 até 25.6.63 Versões do Looker anteriores a 25.6.63 Versões do Looker de 25.6.63 até 25.8.45 Versões do Looker anteriores a 25.8.45 Versões do Looker de 25.8.45 até 25.10.33 Versões do Looker anteriores a 25.10.33 Versões do Looker de 25.10.33 até 25.12.1 Versões do Looker anteriores a 25.12.1 Versões do Looker de 25.12.1 até 25.14 Versões do Looker anteriores a 25.14

Descrição O endpoint do Looker usado para criar novos projetos a partir de conexões de banco de dados permite a especificação de "looker" como um nome de conexão, que é um nome reservado para o banco de dados MySQL interno do Looker. O parâmetro schemas é suscetível a injeção de SQL, permitindo a manipulação de consultas SELECT executadas contra o banco de dados MySQL interno. Isso permite que usuários com permissões de desenvolvedor extraiam dados do banco de dados MySQL interno do Looker. O endpoint da API envolvido é o endpoint de geração de projetos. O parâmetro vulnerável é schemas.

Recomendações Versões anteriores a 24.12.106 devem ser atualizadas. Versões de 24.12.106 até 24.18.198 devem ser atualizadas. Versões anteriores a 25.0.75 devem ser atualizadas. Versões de 25.0.75 até 25.6.63 devem ser atualizadas. Versões anteriores a 25.6.63 devem ser atualizadas. Versões de 25.6.63 até 25.8.45 devem ser atualizadas. Versões anteriores a 25.8.45 devem ser atualizadas. Versões de 25.8.45 até 25.10.33 devem ser atualizadas. Versões anteriores a 25.10.33 devem ser atualizadas. Versões de 25.10.33 até 25.12.1 devem ser atualizadas. Versões anteriores a 25.12.1 devem ser atualizadas. Versões de 25.12.1 até 25.14 devem ser atualizadas.