עדכוני אבטחה דחופים | Google Security Operations

שינינו את מבנה הניווט כדי שיתאים לתהליכי העבודה התפעוליים שלכם. מידע נוסף זמין בהערות הגרסה של Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בדף הזה מופיעים כל עדכוני האבטחה שקשורים ל-Google Security Operations.

GCP-2025-075

תאריך פרסום: 7 בדצמבר 2025

תיאור

תיאור רמת סיכון הערות

תיאור	רמת סיכון	הערות
נקודת חולשה בתכונת השילובים בהתאמה אישית של Google Security Operations SOAR יכולה לאפשר למשתמש מאומת עם תפקיד IDE להשיג ביצוע קוד מרחוק (RCE) בשרת. הפגיעות נבעה מאימות לא מספיק של קוד חבילת Python, שאיפשר לתוקף להעלות חבילה עם קובץ `setup.py` זדוני. אז אפשר להפעיל את הקובץ הזה במהלך ההתקנה, וכך לפגוע בשרת. פעולות מומלצות לא נדרשת פעולה מצד הלקוחות. כל הלקוחות שודרגו אוטומטית לגרסה המתוקנת: 6.3.64 ומעלה.	גבוהה	CVE-2025-13428

נקודת חולשה בתכונת השילובים בהתאמה אישית של Google Security Operations SOAR יכולה לאפשר למשתמש מאומת עם תפקיד IDE להשיג ביצוע קוד מרחוק (RCE) בשרת. הפגיעות נבעה מאימות לא מספיק של קוד חבילת Python, שאיפשר לתוקף להעלות חבילה עם קובץ setup.py זדוני. אז אפשר להפעיל את הקובץ הזה במהלך ההתקנה, וכך לפגוע בשרת.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. כל הלקוחות שודרגו אוטומטית לגרסה המתוקנת: 6.3.64 ומעלה.

גבוהה

CVE-2025-13428

GCP-2025-049

תאריך פרסום: 4 בספטמבר 2025

תיאור

תיאור	רמת סיכון	הערות
התגלתה נקודת חולשה קריטית בגרסאות 6.3.54.0 ו-6.3.53.2 של Google Security Operations SOAR. משתמש מאומת עם הרשאות להעלות קובצי ZIP (לדוגמה, כשמייבאים תרחישי שימוש) יכול להעלות ארכיון ZIP שיכול לכתוב קבצים למיקומים שרירותיים במערכת הקבצים של השרת. המערכת לחילוץ קבצים מארכיוני ZIP לא הצליחה למנוע כתיבה של קבצים בארכיון מחוץ לתיקיית היעד המיועדת שלהם. היא נקראת גם נקודת חולשה מסוג Directory Traversal או Zip Slip. פעולות מומלצות לא נדרשת פעולה מצד הלקוחות. כל הלקוחות שודרגו אוטומטית לגרסה המתוקנת או לגרסה מתקדמת יותר: 6.3.54.1 או 6.3.53.3 אילו נקודות חולשה טופלו? תוקף יכול לנצל את פרצת האבטחה הזו כדי לדרוס קבצים של האפליקציה. על ידי דריסה של קובץ JavaScript שמשמש את התכונה ליצירת דוחות, תוקף יכול להשיג הרצת קוד מרחוק (RCE) במופע Google SecOps SOAR. התוקף יכול להריץ קוד משלו בשרת.	גבוהה	CVE-2025-9918

רמת סיכון

הערות

התגלתה נקודת חולשה קריטית בגרסאות 6.3.54.0 ו-6.3.53.2 של Google Security Operations SOAR. משתמש מאומת עם הרשאות להעלות קובצי ZIP (לדוגמה, כשמייבאים תרחישי שימוש) יכול להעלות ארכיון ZIP שיכול לכתוב קבצים למיקומים שרירותיים במערכת הקבצים של השרת.

המערכת לחילוץ קבצים מארכיוני ZIP לא הצליחה למנוע כתיבה של קבצים בארכיון מחוץ לתיקיית היעד המיועדת שלהם. היא נקראת גם נקודת חולשה מסוג Directory Traversal או Zip Slip.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. כל הלקוחות שודרגו אוטומטית לגרסה המתוקנת או לגרסה מתקדמת יותר: 6.3.54.1 או 6.3.53.3

אילו נקודות חולשה טופלו?

תוקף יכול לנצל את פרצת האבטחה הזו כדי לדרוס קבצים של האפליקציה. על ידי דריסה של קובץ JavaScript שמשמש את התכונה ליצירת דוחות, תוקף יכול להשיג הרצת קוד מרחוק (RCE) במופע Google SecOps SOAR. התוקף יכול להריץ קוד משלו בשרת.

גבוהה

CVE-2025-9918

GCP-2023-028

תאריך פרסום: 19 בספטמבר 2023

תאריך עדכון: 29 במאי 2024

תיאור

תיאור	רמת סיכון	הערות
עדכון מ-29 במאי 2024: הפידים החדשים כבר לא משתמשים בחשבון השירות המשותף, אבל הוא נשאר פעיל עבור פידים קיימים כדי למנוע שיבושים בשירות. השינויים במקור בפידים ישנים חסומים כדי למנוע שימוש לרעה בחשבון השירות המשותף. הלקוחות יכולים להמשיך להשתמש בפידים הישנים שלהם כרגיל, כל עוד הם לא משנים את המקור. לקוחות יכולים להגדיר את Google SecOps כך שיקבל נתונים מקטגוריות של Cloud Storage בבעלות הלקוח באמצעות פיד להזנת נתונים. עד לאחרונה, Google SecOps סיפק חשבון שירות משותף שהלקוחות השתמשו בו כדי להעניק הרשאה לקטגוריית האחסון. הייתה הזדמנות שבה אפשר היה להגדיר את המופע של Google SecOps של לקוח אחד כך שיקלוט נתונים מקטגוריה של Cloud Storage של לקוח אחר. אחרי ביצוע ניתוח השפעה, לא מצאנו ניצול נוכחי או קודם של הפגיעות הזו. נקודת החולשה הייתה קיימת בכל הגרסאות של Google SecOps לפני 19 בספטמבר 2023. פעולות מומלצות החל מ-19 בספטמבר 2023, Google SecOps עודכן כדי לטפל בנקודת החולשה הזו. לא נדרשת פעולה מצד הלקוחות. אילו נקודות חולשה טופלו? בעבר, Google SecOps סיפק חשבון שירות משותף שהלקוחות השתמשו בו כדי להעניק הרשאה לקטגוריית אחסון. הסיבה לכך היא שלקוחות שונים העניקו לאותו חשבון שירות של Google SecOps הרשאה לקטגוריה שלהם, ולכן היה וקטור ניצול לרעה שאיפשר לפיד של לקוח אחד לגשת לקטגוריה של לקוח אחר כשנוצר או שונה פיד. כדי לנצל את וקטור הפריצה הזה, נדרש ידע לגבי ה-URI של הדלי. מעכשיו, במהלך יצירה או שינוי של פיד, Google SecOps משתמש בחשבונות שירות ייחודיים לכל לקוח.	גבוהה

רמת סיכון

הערות

עדכון מ-29 במאי 2024: הפידים החדשים כבר לא משתמשים בחשבון השירות המשותף, אבל הוא נשאר פעיל עבור פידים קיימים כדי למנוע שיבושים בשירות. השינויים במקור בפידים ישנים חסומים כדי למנוע שימוש לרעה בחשבון השירות המשותף. הלקוחות יכולים להמשיך להשתמש בפידים הישנים שלהם כרגיל, כל עוד הם לא משנים את המקור.

לקוחות יכולים להגדיר את Google SecOps כך שיקבל נתונים מקטגוריות של Cloud Storage בבעלות הלקוח באמצעות פיד להזנת נתונים. עד לאחרונה, Google SecOps סיפק חשבון שירות משותף שהלקוחות השתמשו בו כדי להעניק הרשאה לקטגוריית האחסון. הייתה הזדמנות שבה אפשר היה להגדיר את המופע של Google SecOps של לקוח אחד כך שיקלוט נתונים מקטגוריה של Cloud Storage של לקוח אחר. אחרי ביצוע ניתוח השפעה, לא מצאנו ניצול נוכחי או קודם של הפגיעות הזו. נקודת החולשה הייתה קיימת בכל הגרסאות של Google SecOps לפני 19 בספטמבר 2023.

פעולות מומלצות

החל מ-19 בספטמבר 2023, Google SecOps עודכן כדי לטפל בנקודת החולשה הזו. לא נדרשת פעולה מצד הלקוחות.

אילו נקודות חולשה טופלו?

בעבר, Google SecOps סיפק חשבון שירות משותף שהלקוחות השתמשו בו כדי להעניק הרשאה לקטגוריית אחסון. הסיבה לכך היא שלקוחות שונים העניקו לאותו חשבון שירות של Google SecOps הרשאה לקטגוריה שלהם, ולכן היה וקטור ניצול לרעה שאיפשר לפיד של לקוח אחד לגשת לקטגוריה של לקוח אחר כשנוצר או שונה פיד. כדי לנצל את וקטור הפריצה הזה, נדרש ידע לגבי ה-URI של הדלי. מעכשיו, במהלך יצירה או שינוי של פיד, Google SecOps משתמש בחשבונות שירות ייחודיים לכל לקוח.

גבוהה