A continuación, se describen todos los boletines de seguridad relacionados con Cloud Build.
Para recibir los boletines de seguridad más recientes, realiza una de las siguientes acciones:
- Agrega la URL de esta página a tu lector de feeds.
- Agrega la URL del feed directamente a tu lector de feeds.
GCP-2026-042
Fecha de publicación: 24 de junio de 2026
Descripción
| Descripción | Gravedad | Notas |
|---|---|---|
|
Cuando creas o actualizas conexiones de repositorios, Cloud Build usa secretos de Secret Manager para autenticarse en proveedores de Git externos. En el caso de las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC), el agente de servicio de Cloud Build (P4SA) recuperaba estos secretos a los que se hacía referencia en tu nombre. Esto significaba que las verificaciones de permisos se realizaban con las credenciales de la P4SA en lugar de las de la entidad principal que llamaba. Esto podría permitir que un principal con permisos limitados lea los secretos a los que se hace referencia en Secret Manager si apunta el URI del host de conexión del repositorio a un extremo controlado por un atacante. Para mitigar esta vulnerabilidad y cumplir con el principio de seguridad de privilegio mínimo, Cloud Build ahora verifica los permisos en función de las credenciales de la entidad principal que realiza la llamada (con credenciales de usuario final) y la P4SA cuando se llama a las APIs de conexión del repositorio para las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC). Específicamente, el servidor ahora verifica que tanto la entidad llamadora como la P4SA posean el permiso ¿Qué debo hacer? No se requiere ninguna acción para las conexiones de repositorios existentes. Si encuentras errores de permisos cuando creas o actualizas conexiones de repositorios de GitLab Enterprise (GLE) o Bitbucket Data Center (BBDC), otorga el rol de Secret Manager Secret Accessor ( ¿Qué vulnerabilidades corrige este parche? Esta vulnerabilidad permitía que los usuarios con acceso de administrador de conexión de repositorio leyeran los secretos a los que se hacía referencia en Secret Manager, ya que las verificaciones de permisos solo se realizaban en función de las credenciales del P4SA. Al requerir verificaciones de permisos en la entidad principal que llama (con credenciales de usuario final) y en la P4SA para las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC), solo los usuarios autorizados con el permiso de IAM |
Bajo |
GCP-2023-013
Fecha de publicación: 2023-06-08
Descripción
| Descripción | Gravedad | Notas |
|---|---|---|
|
Cuando habilitas la API de Cloud Build en un proyecto, Cloud Build crea automáticamente una cuenta de servicio predeterminada para ejecutar compilaciones en tu nombre. Anteriormente, esta cuenta de servicio heredada de Cloud Build tenía el permiso de IAM ¿Qué debo hacer? No es necesario que el usuario realice ninguna otra acción. Se revocó el permiso de IAM ¿Qué vulnerabilidades corrige este parche? Esta vulnerabilidad otorgaba a las compilaciones el permiso para enumerar registros privados.
Dado que el permiso de IAM |
Bajo |