Google Security Operations SOAR 的自訂整合功能存在安全漏洞，通過驗證且具備 IDE 角色的使用者可能因此在伺服器上執行遠端程式碼 (RCE)。這項漏洞是因 Python 套件程式碼驗證不足所致，導致攻擊者可上傳含有惡意 setup.py 檔案的套件。這個檔案隨後會在安裝期間執行，導致伺服器遭到入侵。

我該怎麼做？

顧客無須採取任何行動。所有客戶都已自動升級至修正版本：6.3.64 以上。

Google Security Operations SOAR 6.3.54.0 和 6.3.53.2 版發現重大安全漏洞。如果經過驗證的使用者有權上傳 ZIP 檔案 (例如匯入用途時)，他們就能上傳 ZIP 封存檔，並將檔案寫入伺服器檔案系統的任意位置。

從 ZIP 封存檔擷取檔案的系統無法防止封存檔中的檔案寫入預定目的地資料夾以外的位置。這也稱為目錄遍歷或 Zip Slip 安全漏洞。

我該怎麼做？

顧客無須採取任何行動。所有客戶都已自動升級至修正版本或更高版本：6.3.54.1 或 6.3.53.3

這個修補程式修正了哪些安全漏洞？

攻擊者可能會利用這個安全漏洞覆寫應用程式檔案。攻擊者可以覆寫報表產生功能使用的 JavaScript 檔案，在 Google SecOps SOAR 執行個體上執行遠端程式碼 (RCE)。攻擊者可能會在伺服器上執行自己的程式碼。

客戶可以設定 Google SecOps，透過擷取動態饋給從客戶擁有的 Cloud Storage bucket 擷取資料。直到最近，Google SecOps 提供的共用服務帳戶，客戶都用來授予 bucket 權限。有機會將某位客戶的 Google SecOps 執行個體設定為從另一位客戶的 Cloud Storage 值區擷取資料。經過影響分析，我們發現目前或先前並無任何利用這項安全漏洞的行為。2023 年 9 月 19 日前，所有版本的 Google SecOps 都存在這個安全漏洞。

我該怎麼做？

自 2023 年 9 月 19 日起，Google SecOps 已更新，可解決這項安全漏洞。顧客無須採取任何行動。

這個修補程式修正了哪些安全漏洞？

先前，Google SecOps 提供共用的服務帳戶，供客戶授予值區權限。由於不同客戶都將同一個 Google SecOps 服務帳戶的權限授予自己的值區，因此存在可供利用的向量，讓某個客戶的動態消息在建立或修改時，能夠存取其他客戶的值區。這個利用向量需要瞭解 bucket URI。現在，Google SecOps 會在建立或修改動態饋給時，為每位客戶使用專屬的服務帳戶。