Di seguito sono descritti tutti i bollettini sulla sicurezza relativi a Developer Connect.
Per ricevere gli ultimi bollettini sulla sicurezza, esegui una delle seguenti operazioni:
- Aggiungi l'URL di questa pagina al tuo lettore di feed.
- Aggiungi l'URL del feed direttamente al lettore di feed.
GCP-2026-048
Pubblicato il: 13/07/2026
Descrizione
| Descrizione | Gravità | Note |
|---|---|---|
|
Quando crei o aggiorni le connessioni ai repository, Developer Connect utilizza i secret di Secret Manager per l'autenticazione ai provider Git di terze parti. Per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC), questi secret a cui si fa riferimento venivano recuperati in precedenza dal service agent di Developer Connect (P4SA) per tuo conto. Ciò significava che i controlli delle autorizzazioni venivano eseguiti in base alle credenziali del P4SA anziché a quelle dell'entità chiamante. Ciò potrebbe consentire a un'entità con autorizzazioni limitate di leggere i secret di Secret Manager a cui si fa riferimento puntando l'URI dell'host della connessione al repository a un endpoint controllato da un utente malintenzionato. Per mitigare questa vulnerabilità e rispettare il principio di sicurezza del privilegio minimo, Developer Connect ora controlla le autorizzazioni sia in base alle credenziali dell'entità chiamante (utilizzando le credenziali dell'utente finale) sia al P4SA quando chiama le API di connessione al repository per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC). In particolare, il server ora verifica che sia il chiamante sia il P4SA dispongano dell'autorizzazione IAM Che cosa devo fare? Non è richiesto alcun intervento per le connessioni ai repository esistenti. Se riscontri errori di autorizzazione durante la creazione o l'aggiornamento delle connessioni ai repository GitLab Enterprise (GLE) o Bitbucket Data Center (BBDC), concedi il ruolo Secret Manager Secret Accessor ( Quali vulnerabilità vengono affrontate da questa patch? Questa vulnerabilità consentiva agli utenti con accesso amministrativo alla connessione al repository di leggere i secret di Secret Manager a cui si fa riferimento perché i controlli delle autorizzazioni venivano eseguiti solo in base alle credenziali del P4SA. Richiedendo i controlli delle autorizzazioni sia in base all'entità chiamante (utilizzando le credenziali dell'utente finale) sia al P4SA per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC), solo gli utenti autorizzati con l'autorizzazione IAM |
Media |