Bollettini sulla sicurezza

Questa pagina descrive tutti i bollettini sulla sicurezza relativi a Google Cloud Observability.

GCP-2026-009

Pubblicato il: 2026-02-13

Descrizione	Gravità	Note
Le versioni dell'interfaccia utente di Observability Analytics precedenti a gennaio 2026 possono essere configurate per eseguire automaticamente le query SQL. Una vulnerabilità può consentire a un malintenzionato di creare un URL di query che, se aperto da un utente con le credenziali, potrebbe accedere ai contenuti della tabella o comportare costi di query. Che cosa devo fare? Non è richiesta alcuna azione da parte dell'utente. La vulnerabilità è stata corretta e le interfacce utente interessate sono state aggiornate a gennaio 2026 per includere punti di intervento per impedire l'esecuzione di SQL dannoso senza che l'utente abbia la possibilità di esaminarlo. Quali vulnerabilità vengono affrontate? La vulnerabilità può consentire a un attaccante di accedere a contenuti limitati di tabelle di Observability Analytics o BigQuery di una destinazione quando la destinazione esegue una query SQL creata da un attaccante. La vulnerabilità sfrutta gli audit log di BigQuery per trasmettere informazioni sui contenuti della tabella della destinazione a un progetto controllato da un malintenzionato Google Cloud . La vulnerabilità è esacerbata dal comportamento delle interfacce di Observability Analytics che eseguono automaticamente le query incorporate nell'URL, impedendo alla destinazione di esaminare la query creata dall'attaccante prima di eseguirla con le proprie credenziali.	Alta

Descrizione

Gravità

Note

Le versioni dell'interfaccia utente di Observability Analytics precedenti a gennaio 2026 possono essere configurate per eseguire automaticamente le query SQL. Una vulnerabilità può consentire a un malintenzionato di creare un URL di query che, se aperto da un utente con le credenziali, potrebbe accedere ai contenuti della tabella o comportare costi di query.

Che cosa devo fare?

Non è richiesta alcuna azione da parte dell'utente. La vulnerabilità è stata corretta e le interfacce utente interessate sono state aggiornate a gennaio 2026 per includere punti di intervento per impedire l'esecuzione di SQL dannoso senza che l'utente abbia la possibilità di esaminarlo.

Quali vulnerabilità vengono affrontate?

La vulnerabilità può consentire a un attaccante di accedere a contenuti limitati di tabelle di Observability Analytics o BigQuery di una destinazione quando la destinazione esegue una query SQL creata da un attaccante.

La vulnerabilità sfrutta gli audit log di BigQuery per trasmettere informazioni sui contenuti della tabella della destinazione a un progetto controllato da un malintenzionato Google Cloud . La vulnerabilità è esacerbata dal comportamento delle interfacce di Observability Analytics che eseguono automaticamente le query incorporate nell'URL, impedendo alla destinazione di esaminare la query creata dall'attaccante prima di eseguirla con le proprie credenziali.

Alta

GCP-2026-005

Pubblicato il: 2026-01-28

Descrizione	Gravità	Note
Questa vulnerabilità interessa le versioni dell'interfaccia di Observability Analytics e dell'interfaccia di creazione di dashboard di Cloud Monitoring precedenti a gennaio 2026. Che cosa devo fare? Non è richiesta alcuna azione da parte dell'utente. Le interfacce utente interessate sono state aggiornate a gennaio 2026 per includere punti di intervento per impedire l'esecuzione di SQL dannoso senza che l'utente abbia la possibilità di esaminarlo. Quali vulnerabilità vengono affrontate? La vulnerabilità consente a un malintenzionato di accedere a contenuti limitati delle tabelle di Observability Analytics o BigQuery di una destinazione quando la destinazione visualizza una dashboard creata da un malintenzionato. La vulnerabilità sfrutta i canali di metadati di BigQuery per trasmettere informazioni sui contenuti della tabella della destinazione a un progetto controllato da un malintenzionato Google Cloud La vulnerabilità è esacerbata dal comportamento delle interfacce delle dashboard che eseguono automaticamente le query per popolare i widget basati su SQL, impedendo alla destinazione di esaminare la query creata dall'attaccante prima di eseguirla con le proprie credenziali.	Alta

Descrizione

Gravità

Note

Questa vulnerabilità interessa le versioni dell'interfaccia di Observability Analytics e dell'interfaccia di creazione di dashboard di Cloud Monitoring precedenti a gennaio 2026.

Che cosa devo fare?

Non è richiesta alcuna azione da parte dell'utente. Le interfacce utente interessate sono state aggiornate a gennaio 2026 per includere punti di intervento per impedire l'esecuzione di SQL dannoso senza che l'utente abbia la possibilità di esaminarlo.

Quali vulnerabilità vengono affrontate?

La vulnerabilità consente a un malintenzionato di accedere a contenuti limitati delle tabelle di Observability Analytics o BigQuery di una destinazione quando la destinazione visualizza una dashboard creata da un malintenzionato.

La vulnerabilità sfrutta i canali di metadati di BigQuery per trasmettere informazioni sui contenuti della tabella della destinazione a un progetto controllato da un malintenzionato Google Cloud La vulnerabilità è esacerbata dal comportamento delle interfacce delle dashboard che eseguono automaticamente le query per popolare i widget basati su SQL, impedendo alla destinazione di esaminare la query creata dall'attaccante prima di eseguirla con le proprie credenziali.

Alta

Bollettini sulla sicurezza Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

GCP-2026-009

GCP-2026-005

Bollettini sulla sicurezza