Bollettini sulla sicurezza

Questa pagina fornisce tutti i bollettini sulla sicurezza relativi a Google Security Operations.

GCP-2025-075

Pubblicato: 2025-12-07

Descrizione

Descrizione Gravità Note

Una vulnerabilità nella funzionalità di integrazioni personalizzate di Google Security Operations SOAR potrebbe consentire a un utente autenticato con un ruolo IDE di ottenere l'esecuzione di codice remoto (RCE) sul server. La vulnerabilità era dovuta a una convalida insufficiente del codice del pacchetto Python, che consentiva a un malintenzionato di caricare un pacchetto con un file setup.py dannoso. Questo file poteva essere eseguito durante l'installazione, compromettendo il server.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Tutti i clienti hanno eseguito automaticamente l'upgrade alla versione corretta: 6.3.64 o versioni successive.

Alta CVE-2025-13428

GCP-2025-049

Pubblicato: 2025-09-04

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità critica nelle versioni 6.3.54.0 e 6.3.53.2 di Google Security Operations SOAR. Un utente autenticato con le autorizzazioni per caricare file ZIP (ad esempio, durante l'importazione di casi d'uso) potrebbe caricare un archivio ZIP in grado di scrivere file in posizioni arbitrarie nel file system del server.

Il sistema per l'estrazione dei file dagli archivi ZIP non è riuscito a impedire la scrittura dei file all'interno dell'archivio al di fuori della cartella di destinazione prevista. Questa vulnerabilità è nota anche come Directory Traversal o Zip Slip vulnerabilità.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Tutti i clienti hanno eseguito automaticamente l'upgrade alla versione corretta o a una versione successiva: 6.3.54.1 o 6.3.53.3

Quali vulnerabilità vengono risolte?

Un malintenzionato potrebbe sfruttare questa vulnerabilità per sovrascrivere i file dell'applicazione. Sovrascrivendo un file JavaScript utilizzato dalla funzionalità di generazione di report un malintenzionato potrebbe ottenere l'esecuzione di codice remoto (RCE) sull'istanza di Google SecOps SOAR. Il malintenzionato potrebbe eseguire il proprio codice sul server.

Alta CVE-2025-9918

GCP-2023-028

Pubblicato: 2023-09-19

Aggiornato: 2024-05-29

Descrizione

Descrizione Gravità Note
Aggiornamento del 29 maggio 2024: i nuovi feed non utilizzano più l' account di servizio condiviso, ma rimane attivo per i feed esistenti per evitare interruzioni del servizio. Le modifiche all'origine nei feed precedenti sono bloccate per impedire l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare i vecchi feed normalmente, a condizione che non modifichino l'origine.

I clienti possono configurare Google SecOps per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google SecOps forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità per cui l'istanza di Google SecOps di un cliente poteva essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo riscontrato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google SecOps precedenti al 19 settembre 2023.

Che cosa devo fare?

A partire dal 19 settembre 2023, Google SecOps è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente.

Quali vulnerabilità vengono risolte?

In precedenza, Google SecOps forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi hanno concesso la stessa autorizzazione dell'account di servizio Google SecOps al proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente durante la creazione o la modifica di un feed. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica del feed, Google SecOps utilizza account di servizio univoci per ogni cliente.

Alta