研究人員在谷歌一項熱門數據服務中發現了兩個五級安全漏洞，任何一個漏洞都可能使攻擊者能夠獲取敏感信息，從而進行猖獗的橫向移動。惡意攻擊者可以利用此漏洞竊取金鑰和配置訊息，並在 Looker 內部執行後續攻擊。該漏洞目前已被追踪，編號為 CVE-2025-12743，其通用漏洞評分系統 (CVSS) 評級為 6.0 分（滿分為 10 分），屬於中等程度。

2月4日，Tenable 資深研究工程師 Liv Matan描述了Looker中的一個遠端程式碼執行（RCE）漏洞，該漏洞可能允許攻擊者存取Looker運行的基礎設施，甚至在雲端部署中還能存取其他租戶。他還描述了另一個SQL注入漏洞，可用於存取Looker管理的所有資料。

Tenable 首次報導 Looker 的這兩個問題後不久，Google 就修復了它們。在本地部署 Looker 的組織需要手動更新到 Google 安全性公告GCP-2025-052中列出的安全版本之一。

修補 Looker 這樣做並非易事，這需要大量的時間和技術投入。由於 Looker 就像公司最敏感資料的中央神經系統，一些組織可能會因為擔心系統意外宕機或技術故障會擾亂業務而推遲更新。另一個因素是：企業經常面臨一些後勤方面的障礙，例如嚴格的變更管理窗口，禁止在業務高峰期進行系統更新。他們可能還需要更長的時間進行相容性測試，以確保修補程式不會破壞與其他資料庫或第三方工具的自訂連接。此外，缺乏清晰的資產清單會導致影子IT，即一些隱藏或被遺忘的軟體實例由於中央IT團隊沒有意識到它們的存在而未打補丁。

打補丁也並非萬全之策，企業最好始終遵循最小權限原則，像對待其他高風險資產一樣隔離 Looker 實例。將其放置在專用網段中，這樣即使它遭到入侵，攻擊者也難以存取核心網域控制器或其他伺服器。

資料來源：https://www.darkreading.com/application-security/google-looker-bugs-cross-tenant-rce-data-exfil