セキュリティに関する公開情報 | Google Security Operations

このページは Cloud Translation API によって翻訳されました。

このページでは、Google Security Operations に関連するすべてのセキュリティに関する公開情報を提供します。

GCP-2025-049

公開日: 2025 年 9 月 4 日

説明

説明	重大度	メモ
Google Security Operations SOAR バージョン 6.3.54.0 と 6.3.53.2 で重大な脆弱性が発見されました。ZIP ファイルをアップロードする権限を持つ認証済みユーザー（ユースケースのインポート時など）は、サーバーのファイルシステム上の任意の場所にファイルを書き込むことができる ZIP アーカイブをアップロードする可能性があります。 ZIP アーカイブからファイルを抽出するシステムで、アーカイブ内のファイルが意図した宛先フォルダ外に書き込まれるのを防ぐことができませんでした。これは、ディレクトリトラバーサルまたは Zip Slip の脆弱性とも呼ばれます。必要な対策お客様による対応は必要ありません。すべてのお客様が、修正バージョン（6.3.54.1 または 6.3.53.3）以上に自動的にアップグレードされました。対処されている脆弱性攻撃者はこの脆弱性を悪用して、アプリファイルを上書きする可能性があります。レポート生成機能で使用される JavaScript ファイルを上書きすることで、攻撃者は Google SecOps SOAR インスタンスでリモートコード実行（RCE）を行う可能性があります。攻撃者はサーバーで独自のコードを実行する可能性があります。	高	CVE-2025-9918

重大度

メモ

Google Security Operations SOAR バージョン 6.3.54.0 と 6.3.53.2 で重大な脆弱性が発見されました。ZIP ファイルをアップロードする権限を持つ認証済みユーザー（ユースケースのインポート時など）は、サーバーのファイルシステム上の任意の場所にファイルを書き込むことができる ZIP アーカイブをアップロードする可能性があります。

ZIP アーカイブからファイルを抽出するシステムで、アーカイブ内のファイルが意図した宛先フォルダ外に書き込まれるのを防ぐことができませんでした。これは、ディレクトリトラバーサルまたは Zip Slip の脆弱性とも呼ばれます。

必要な対策

お客様による対応は必要ありません。すべてのお客様が、修正バージョン（6.3.54.1 または 6.3.53.3）以上に自動的にアップグレードされました。

対処されている脆弱性

攻撃者はこの脆弱性を悪用して、アプリファイルを上書きする可能性があります。レポート生成機能で使用される JavaScript ファイルを上書きすることで、攻撃者は Google SecOps SOAR インスタンスでリモートコード実行（RCE）を行う可能性があります。攻撃者はサーバーで独自のコードを実行する可能性があります。

高

CVE-2025-9918

GCP-2023-028

公開済み: 2023-09-19

更新: 2024-05-29

説明

説明	重大度	メモ
2024 年 5 月 29 日更新: 新しいフィードでは共有サービスアカウントを使用しなくなりましたが、サービスが中断しないように既存のフィードでは引き続き有効になっています。共有サービスアカウントの不正使用を防ぐため、古いフィードのソースへの変更はブロックされます。顧客はソースを変更しない限り、古いフィードを引き続き使用できます。お客様は、取り込みフィードを使用して、お客様所有の Cloud Storage バケットからデータを取り込むように Google SecOps を構成できます。最近まで、Google SecOps では共有サービスアカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google SecOps インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google SecOps のすべてのバージョンに存在していました。必要な対策 2023 年 9 月 19 日時点で、Google SecOps はこの脆弱性に対処するために更新されています。お客様による対応は必要ありません。対処されている脆弱性以前は、Google SecOps では共有サービスアカウントを提供しており、お客様はこれを使用してバケットへのアクセス権を付与していました。複数のお客様が、同一の Google SecOps サービスアカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、Google SecOps は、フィードの作成時や変更時にお客様ごとに固有のサービスアカウントを使用しています。	高

重大度

メモ

2024 年 5 月 29 日更新: 新しいフィードでは共有サービスアカウントを使用しなくなりましたが、サービスが中断しないように既存のフィードでは引き続き有効になっています。共有サービスアカウントの不正使用を防ぐため、古いフィードのソースへの変更はブロックされます。顧客はソースを変更しない限り、古いフィードを引き続き使用できます。

お客様は、取り込みフィードを使用して、お客様所有の Cloud Storage バケットからデータを取り込むように Google SecOps を構成できます。最近まで、Google SecOps では共有サービスアカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google SecOps インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google SecOps のすべてのバージョンに存在していました。

必要な対策

2023 年 9 月 19 日時点で、Google SecOps はこの脆弱性に対処するために更新されています。お客様による対応は必要ありません。

対処されている脆弱性

以前は、Google SecOps では共有サービスアカウントを提供しており、お客様はこれを使用してバケットへのアクセス権を付与していました。複数のお客様が、同一の Google SecOps サービスアカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、Google SecOps は、フィードの作成時や変更時にお客様ごとに固有のサービスアカウントを使用しています。

高