Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Bulletins de sécurité

La section suivante décrit tous les bulletins de sécurité liés à Application Integration.

GCP-2026-044

Date de publication : 25-06-2026

Description	Gravité	Remarques
Une faille a été détectée dans la tâche JavaScript d'Application Integration, qui utilisait le moteur JavaScript Rhino. Cela n'a affecté que les tâches publiées avant janvier 2025. Que dois-je faire ? Google est passé au moteur JavaScript V8, plus sécurisé, pour les tâches JavaScript dans Application Integration. Depuis janvier 2025, toutes les intégrations nouvellement publiées utilisent le moteur V8. Le moteur Rhino a été entièrement abandonné le 30 mars 2026. Les exécutions utilisant le moteur Rhino sont également bloquées. Si vous avez publié des intégrations avant janvier 2025, vérifiez vos tâches JavaScript pour vous assurer qu'aucune ne repose encore sur le moteur Rhino. Toutes les tâches encore configurées pour utiliser Rhino ne s'exécuteront plus et devront être migrées vers le moteur V8. Pour connaître la procédure de migration, consultez Migrer des tâches JavaScript. Quelles failles sont corrigées ? La faille CVE-2025-0982 permettait à un utilisateur autorisé à créer et à exécuter des tâches JavaScript d'exécuter du code arbitraire dans l'environnement d'exécution Application Integration. Auparavant, la tâche JavaScript utilisait le moteur JavaScript Rhino pour exécuter le code JavaScript fourni par l'utilisateur. Rhino autorisait l'utilisation de la réflexion Java et la modification des objets d'autorisation en mémoire, qui pouvaient être combinés pour contourner le gestionnaire de sécurité Java et échapper au bac à sable d'exécution prévu. Google a résolu ce problème en passant au moteur JavaScript V8 en janvier 2025, puis en abandonnant et en bloquant complètement le moteur Rhino le 30 mars 2026.	Élevée	CVE-2025-0982

Description

Gravité

Remarques

Une faille a été détectée dans la tâche JavaScript d'Application Integration, qui utilisait le moteur JavaScript Rhino. Cela n'a affecté que les tâches publiées avant janvier 2025.

Que dois-je faire ?

Google est passé au moteur JavaScript V8, plus sécurisé, pour les tâches JavaScript dans Application Integration. Depuis janvier 2025, toutes les intégrations nouvellement publiées utilisent le moteur V8. Le moteur Rhino a été entièrement abandonné le 30 mars 2026. Les exécutions utilisant le moteur Rhino sont également bloquées.

Si vous avez publié des intégrations avant janvier 2025, vérifiez vos tâches JavaScript pour vous assurer qu'aucune ne repose encore sur le moteur Rhino. Toutes les tâches encore configurées pour utiliser Rhino ne s'exécuteront plus et devront être migrées vers le moteur V8. Pour connaître la procédure de migration, consultez Migrer des tâches JavaScript.

Quelles failles sont corrigées ?

La faille CVE-2025-0982 permettait à un utilisateur autorisé à créer et à exécuter des tâches JavaScript d'exécuter du code arbitraire dans l'environnement d'exécution Application Integration.

Auparavant, la tâche JavaScript utilisait le moteur JavaScript Rhino pour exécuter le code JavaScript fourni par l'utilisateur. Rhino autorisait l'utilisation de la réflexion Java et la modification des objets d'autorisation en mémoire, qui pouvaient être combinés pour contourner le gestionnaire de sécurité Java et échapper au bac à sable d'exécution prévu. Google a résolu ce problème en passant au moteur JavaScript V8 en janvier 2025, puis en abandonnant et en bloquant complètement le moteur Rhino le 30 mars 2026.

Élevée

CVE-2025-0982