Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Boletines de seguridad

A continuación, se describen todos los boletines de seguridad relacionados con Application Integration.

GCP-2026-044

Fecha de publicación: 25 de junio de 2026

Descripción	Gravedad	Notas
Se detectó una vulnerabilidad en la tarea de JavaScript de Application Integration, que usaba el motor JavaScript Rhino. Esto solo afectó a las tareas publicadas antes de enero de 2025. ¿Qué debo hacer? Google realizó la transición al motor JavaScript V8 más seguro para las tareas de JavaScript en Application Integration. Desde enero de 2025, todas las integraciones recién publicadas usan el motor V8 y, a partir del 30 de marzo de 2026, el motor Rhino dejó de estar disponible por completo. Las ejecuciones que usan el motor Rhino también están bloqueadas. Si tienes integraciones publicadas antes de enero de 2025, revisa tus tareas de JavaScript para confirmar que ninguna dependa del motor Rhino. Las tareas que aún estén configuradas para usar Rhino ya no se ejecutarán y se deben migrar al motor V8. Para conocer los pasos de migración, consulta Migra tareas de JavaScript. ¿Qué vulnerabilidades se abordan? La vulnerabilidad, CVE-2025-0982, permitió que un usuario con autorización para crear y ejecutar tareas de JavaScript ejecutara código arbitrario dentro del entorno de ejecución de Application Integration. Anteriormente, la tarea de JavaScript usaba el motor JavaScript Rhino para ejecutar JavaScript proporcionado por el usuario. Rhino permitía el uso de la reflexión de Java y la modificación de objetos de permiso en la memoria, que se podían combinar para omitir el administrador de seguridad de Java y escapar del sandbox de ejecución previsto. Google solucionó este problema con la migración al motor JavaScript V8 en enero de 2025 y la baja y el bloqueo completos del motor Rhino el 30 de marzo de 2026.	Alta	CVE-2025-0982

Descripción

Gravedad

Notas

Se detectó una vulnerabilidad en la tarea de JavaScript de Application Integration, que usaba el motor JavaScript Rhino. Esto solo afectó a las tareas publicadas antes de enero de 2025.

¿Qué debo hacer?

Google realizó la transición al motor JavaScript V8 más seguro para las tareas de JavaScript en Application Integration. Desde enero de 2025, todas las integraciones recién publicadas usan el motor V8 y, a partir del 30 de marzo de 2026, el motor Rhino dejó de estar disponible por completo. Las ejecuciones que usan el motor Rhino también están bloqueadas.

Si tienes integraciones publicadas antes de enero de 2025, revisa tus tareas de JavaScript para confirmar que ninguna dependa del motor Rhino. Las tareas que aún estén configuradas para usar Rhino ya no se ejecutarán y se deben migrar al motor V8. Para conocer los pasos de migración, consulta Migra tareas de JavaScript.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad, CVE-2025-0982, permitió que un usuario con autorización para crear y ejecutar tareas de JavaScript ejecutara código arbitrario dentro del entorno de ejecución de Application Integration.

Anteriormente, la tarea de JavaScript usaba el motor JavaScript Rhino para ejecutar JavaScript proporcionado por el usuario. Rhino permitía el uso de la reflexión de Java y la modificación de objetos de permiso en la memoria, que se podían combinar para omitir el administrador de seguridad de Java y escapar del sandbox de ejecución previsto. Google solucionó este problema con la migración al motor JavaScript V8 en enero de 2025 y la baja y el bloqueo completos del motor Rhino el 30 de marzo de 2026.

Alta

CVE-2025-0982