セキュリティに関する情報
このページでは、Google Security Operations に関連するすべてのセキュリティに関する情報を提供します。
GCP-2025-075
公開済み: 2025-12-07
説明
| 説明 | 重大度 | メモ |
|---|---|---|
|
Google Security Operations SOAR のカスタム統合機能の脆弱性により、
IDE ロールを持つ認証済みユーザーがサーバーでリモートコード
実行(RCE)を行う可能性があります。この脆弱性は、Python パッケージ コードの検証が不十分なことが原因で、攻撃者が悪意のある 必要な対策 お客様による対応は必要ありません。すべてのお客様は、修正バージョン 6.3.64 以降に自動的にアップグレードされています 。 |
高 | CVE-2025-13428 |
GCP-2025-049
公開済み: 2025-09-04
説明
| 説明 | 重大度 | メモ |
|---|---|---|
|
Google Security Operations SOAR バージョン 6.3.54.0 と 6.3.53.2 に重大な脆弱性が発見されました。ZIP ファイルをアップロードする権限を持つ認証済みユーザー(ユースケースのインポート時など)は、サーバーのファイル システム上の任意の場所にファイルを書き込むことができる ZIP アーカイブをアップロードできます。 ZIP アーカイブからファイルを抽出するシステムでは、アーカイブ内のファイルが本来の宛先フォルダ以外に書き込まれるのを防ぐことができませんでした。これは、ディレクトリ トラバーサルまたは Zip Slip の脆弱性とも呼ばれます。 必要な対策 お客様による対応は必要ありません。すべてのお客様は、修正バージョン 6.3.54.1 または 6.3.53.3 以降に自動的に アップグレードされています。 対処されている脆弱性 攻撃者はこの脆弱性を悪用してアプリケーション ファイルを上書きする可能性があります。レポート生成機能で使用される JavaScript ファイルを上書きすることで、攻撃者は Google SecOps SOAR インスタンスでリモートコード実行(RCE)を行う可能性があります。攻撃者は サーバー上で独自のコードを実行できます。 |
高 | CVE-2025-9918 |
GCP-2023-028
公開済み: 2023-09-19
更新: 2024-05-29
説明
| 説明 | 重大度 | メモ |
|---|---|---|
| 2024 年 5 月 29 日更新: 新しいフィードでは共有サービス アカウントを使用しなくなりましたが、サービスが中断しないように既存のフィードでは引き続き有効になっています。共有サービス アカウントの不正使用を防ぐため、古いフィードのソースへの変更はブロックされます。顧客はソースを変更しない限り、古いフィードを引き続き使用できます。 お客様は、取り込みフィードを使用して、 お客様所有の Cloud Storage バケットからデータを取り込むように Google SecOps を構成できます。最近まで、Google SecOps では共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google SecOps インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google SecOps のすべてのバージョンに存在していました。 必要な対策 2023 年 9 月 19 日時点で、Google SecOps は、この脆弱性に対処するために更新されています。お客様による対応は必要ありません。 対処されている脆弱性 以前は、Google SecOps では共有サービス アカウント を提供しており、お客様はこれを使用してバケットへのアクセス権を付与していました。複数のお客様が、同一の Google SecOps サービス アカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、Google SecOps は、フィードの作成時や変更時にお客様ごとに固有のサービス アカウントを使用しています。 |
高 |