Questa pagina descrive tutti i bollettini sulla sicurezza relativi a Google Cloud Observability.
GCP-2026-039
Pubblicato il: 22/06/2026
| Descrizione | Gravità | Note |
|---|---|---|
Una vulnerabilità in Cloud Logging avrebbe potuto consentire agli autori di attacchi di dirottare le destinazioni dei sink di log ricreando il bucket Cloud Storage di destinazione in un progetto controllato dall'autore dell'attacco. Questo problema avrebbe potuto comportare il routing continuo di log sensibili a una terza parte non autorizzata. Che cosa devo fare? Non è richiesto alcun intervento da parte tua. Cloud Logging è stato aggiornato per correggere questa vulnerabilità. Di conseguenza, i sink di log ora restituiranno un errore se il progetto padre di un bucket Cloud Storage di destinazione è cambiato dalla configurazione iniziale. Per ripristinare le esportazioni di log, gli utenti devono eliminare e ricreare il sink di log interessato. Come best practice, gli utenti devono sempre eliminare i sink di log associati prima di rimuovere la risorsa di destinazione per evitare sink orfani. Quali vulnerabilità vengono affrontate? La vulnerabilità potrebbe consentire a un autore di attacchi opportunistico di compromettere le esportazioni di log configurate per Cloud Storage. In precedenza, i sink di Cloud Logging si basavano esclusivamente sul nome del bucket Cloud Storage globalmente univoco per il routing dei log. Ciò potrebbe consentire a un attore malintenzionato di ricreare un bucket eliminato con lo stesso nome in un progetto controllato dall'autore dell'attacco. Un sink di log attivo riprenderebbe automaticamente le esportazioni, indirizzando i log sensibili al bucket dell'autore dell'attacco e causando un'esfiltrazione continua non autorizzata dei dati. Per eseguire questo attacco, l'attore malintenzionato doveva conoscere in anticipo il nome del bucket Cloud Storage di destinazione e il bucket Cloud Storage doveva essere eliminato. La correzione implementata mitiga questa vulnerabilità assicurando che il bucket di destinazione risieda nello stesso progetto padre configurato al momento della creazione iniziale del sink. Ora Cloud Logging esegue continuamente questo controllo durante la scrittura dei dati di log nel bucket Cloud Storage. |
Media |
GCP-2026-009
Pubblicato il: 13/02/2026
| Descrizione | Gravità | Note |
|---|---|---|
Le versioni dell'interfaccia utente di Observability Analytics precedenti a gennaio 2026 possono essere configurate per eseguire automaticamente le query SQL. Una vulnerabilità può consentire a un autore di attacchi di creare un URL di query che, se aperto da un utente con le credenziali, potrebbe accedere ai contenuti della tabella o comportare costi di query. Che cosa devo fare? Non è richiesta alcuna azione da parte dell'utente. La vulnerabilità è stata corretta e le interfacce utente interessate sono state aggiornate a gennaio 2026 per includere punti di intervento per impedire l'esecuzione di SQL dannoso senza che l'utente abbia la possibilità di ispezionarlo. Quali vulnerabilità vengono affrontate? La vulnerabilità può consentire a un autore di attacchi di accedere a contenuti limitati di tabelle di Observability Analytics o BigQuery di una destinazione quando la destinazione esegue una query SQL creata dall'autore dell'attacco. La vulnerabilità sfrutta gli audit log di BigQuery per trasmettere informazioni sui contenuti della tabella di destinazione a un progetto controllato dall'autore dell'attacco. Google Cloud La vulnerabilità è esacerbata dal comportamento delle interfacce di Observability Analytics di eseguire automaticamente le query incorporate nell'URL, il che impedisce alla destinazione di ispezionare la query creata dall'autore dell'attacco prima di eseguirla con le proprie credenziali. |
Alta |
GCP-2026-005
Pubblicato il: 28/01/2026
| Descrizione | Gravità | Note |
|---|---|---|
Questa vulnerabilità interessa le versioni dell'interfaccia di Observability Analytics e dell'interfaccia di creazione di dashboard di Cloud Monitoring precedenti a gennaio 2026. Che cosa devo fare? Non è richiesta alcuna azione da parte dell'utente. Le interfacce utente interessate sono state aggiornate a gennaio 2026 per includere punti di intervento per impedire l'esecuzione di SQL dannoso senza che l'utente abbia la possibilità di ispezionarlo. Quali vulnerabilità vengono affrontate? La vulnerabilità consente a un autore di attacchi di accedere a contenuti limitati delle tabelle di Observability Analytics o BigQuery di una destinazione quando la destinazione visualizza una dashboard creata dall'autore dell'attacco. La vulnerabilità sfrutta i canali di metadati di BigQuery per trasmettere informazioni sui contenuti della tabella di destinazione a un progetto controllato dall'autore dell'attacco Google Cloud La vulnerabilità è esacerbata dal comportamento delle interfacce della dashboard di eseguire automaticamente le query per popolare i widget basati su SQL, il che impedisce alla destinazione di ispezionare la query creata dall'autore dell'attacco prima di eseguirla con le proprie credenziali. |
Alta |