A continuación, se describen todos los boletines de seguridad relacionados con Developer Connect.
Para recibir los boletines de seguridad más recientes, realiza una de las siguientes acciones:
- Agrega la URL de esta página a tu lector de feeds.
- Agrega la URL del feed directamente a tu lector de feeds.
GCP-2026-048
Publicado: 2026-07-13
Descripción
| Descripción | Gravedad | Notas |
|---|---|---|
|
Cuando creas o actualizas conexiones de repositorios, Developer Connect usa secretos de Secret Manager para autenticarse en proveedores de Git externos. En el caso de las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC), el agente de servicio de Developer Connect (P4SA) recuperaba estos secretos a los que se hacía referencia en tu nombre. Esto significaba que las verificaciones de permisos se realizaban con las credenciales de la P4SA en lugar de las de la entidad principal que llamaba. Esto podría permitir que un principal con permisos limitados lea los secretos a los que se hace referencia en Secret Manager apuntando el URI del host de conexión del repositorio a un extremo controlado por un atacante. Para mitigar esta vulnerabilidad y cumplir con el principio de seguridad de privilegios mínimos, Developer Connect ahora verifica los permisos en función de las credenciales de la entidad principal que realiza la llamada (con credenciales del usuario final) y la P4SA cuando se llaman a las APIs de conexión del repositorio para las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC). Específicamente, el servidor ahora verifica que tanto la entidad llamadora como la P4SA posean el permiso ¿Qué debo hacer? No se requiere ninguna acción para las conexiones de repositorios existentes. Si encuentras errores de permisos cuando creas o actualizas conexiones de repositorios de GitLab Enterprise (GLE) o Bitbucket Data Center (BBDC), otorga el rol de Secret Manager Secret Accessor ( ¿Qué vulnerabilidades corrige este parche? Esta vulnerabilidad permitía que los usuarios con acceso de administrador de conexión de repositorio leyeran los secretos a los que se hacía referencia en Secret Manager, ya que las verificaciones de permisos solo se realizaban en función de las credenciales del P4SA. Al requerir verificaciones de permisos en la entidad principal que llama (con credenciales de usuario final) y en la P4SA para las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC), solo los usuarios autorizados con el permiso de IAM |
Media |