Buletin keamanan

Kerentanan terdeteksi dalam tugas JavaScript Application Integration, yang menggunakan mesin JavaScript Rhino. Hal ini hanya memengaruhi tugas yang dipublikasikan sebelum Januari 2025.

Apa yang harus saya lakukan?

Google telah beralih ke mesin JavaScript V8 yang lebih aman untuk tugas JavaScript di Application Integration. Sejak Januari 2025, semua integrasi yang baru dipublikasikan menggunakan mesin V8, dan pada 30 Maret 2026, mesin Rhino telah sepenuhnya dihentikan. Eksekusi yang menggunakan mesin Rhino juga kini diblokir.

Jika Anda memiliki integrasi yang dipublikasikan sebelum Januari 2025, tinjau tugas JavaScript Anda untuk mengonfirmasi bahwa tidak ada yang masih mengandalkan mesin Rhino. Tugas apa pun yang masih dikonfigurasi untuk menggunakan Rhino tidak akan lagi dieksekusi dan harus dimigrasikan ke mesin V8. Untuk mengetahui langkah-langkah migrasi, lihat Memigrasikan tugas JavaScript.

Kerentanan apa yang sedang ditangani?

Kerentanan, CVE-2025-0982, memungkinkan pengguna yang memiliki otorisasi untuk membuat dan menjalankan tugas JavaScript mengeksekusi kode arbitrer dalam lingkungan eksekusi Application Integration.

Tugas JavaScript sebelumnya menggunakan mesin JavaScript Rhino untuk menjalankan JavaScript yang disediakan pengguna. Rhino mengizinkan penggunaan refleksi Java dan modifikasi objek izin dalam memori, yang dapat digabungkan untuk melewati pengelola keamanan Java dan keluar dari sandbox eksekusi yang dimaksud. Google mengatasi hal ini dengan beralih ke mesin JavaScript V8 pada Januari 2025 dan sepenuhnya menghentikan serta memblokir mesin Rhino pada 30 Maret 2026.