Esta página descreve todos os boletins de segurança relacionados ao Google Cloud Observability.
GCP-2026-039
Publicado em: 22/06/2026
| Descrição | Gravidade | Observações |
|---|---|---|
Uma vulnerabilidade no Cloud Logging poderia ter permitido que invasores sequestrassem destinos de coletor de registros recriando o bucket de destino do Cloud Storage em um projeto controlado pelo invasor. Esse problema poderia ter resultado no roteamento contínuo de registros confidenciais para terceiros não autorizados. O que devo fazer? Você não precisa fazer nada. O Cloud Logging foi atualizado para corrigir essa vulnerabilidade. Consequentemente, os coletores de registros vão retornar um erro se o projeto pai de um bucket do Cloud Storage de destino tiver sido alterado desde a configuração inicial. Para restaurar as exportações de registros, os usuários precisam excluir e recriar o coletor de registros afetado. Como prática recomendada, os usuários sempre devem excluir os coletores de registros associados antes de remover o recurso de destino para evitar coletores pendentes. Quais vulnerabilidades estão sendo abordadas? A vulnerabilidade pode permitir que um invasor oportunista comprometa exportações de registros configuradas para o Cloud Storage. Os coletores do Cloud Logging dependiam apenas do nome do bucket do Cloud Storage globalmente exclusivo para rotear registros. Isso poderia permitir que um agente malicioso recriasse um bucket excluído com o mesmo nome em um projeto controlado pelo invasor. Um coletor de registros ativo retomaria automaticamente as exportações, roteando registros confidenciais para o bucket do invasor e resultando em exfiltração contínua de dados não autorizada. Para executar esse ataque, o agente malicioso precisava saber o nome do bucket de destino do Cloud Storage com antecedência, e o bucket do Cloud Storage precisava ser excluído. A correção implementada atenua essa vulnerabilidade, garantindo que o bucket de destino resida no mesmo projeto pai configurado quando o coletor foi criado inicialmente. O Cloud Logging agora realiza essa verificação continuamente enquanto grava dados de registro no bucket do Cloud Storage. |
Médio |
GCP-2026-009
Publicado em: 13/02/2026
| Descrição | Gravidade | Observações |
|---|---|---|
As versões da interface do usuário do Observability Analytics anteriores a janeiro de 2026 podem ser configuradas para executar consultas SQL automaticamente. Uma vulnerabilidade pode permitir que um invasor crie um URL de consulta que, quando aberto por alguém com credenciais, possa acessar o conteúdo da tabela ou gerar custos de consulta. O que devo fazer? Nenhuma ação do usuário é necessária. A vulnerabilidade foi corrigida, e as interfaces do usuário afetadas foram atualizadas em janeiro de 2026 para incluir pontos de intervenção para impedir que SQL malicioso seja executado sem que o usuário tenha a oportunidade de inspecioná-lo. Quais vulnerabilidades estão sendo abordadas? A vulnerabilidade pode permitir que um invasor acesse conteúdo limitado das tabelas do Observability Analytics ou do BigQuery de um destino quando o destino executa uma consulta SQL criada pelo invasor. A vulnerabilidade aproveita os registros de auditoria do BigQuery para transmitir informações sobre o conteúdo da tabela do destino a um projeto controlado pelo invasor. Google Cloud A vulnerabilidade é agravada pelo comportamento das interfaces do Observability Analytics de executar automaticamente consultas incorporadas no URL, o que impede que o destino inspecione a consulta criada pelo invasor antes de executá-la com as credenciais. |
Alta |
GCP-2026-005
Publicado em: 28/01/2026
| Descrição | Gravidade | Observações |
|---|---|---|
Essa vulnerabilidade afeta as versões da interface do Observability Analytics e do painel do Cloud Monitoring anteriores a janeiro de 2026. O que devo fazer? Nenhuma ação do usuário é necessária. As interfaces do usuário afetadas foram atualizadas em janeiro de 2026 para incluir pontos de intervenção para impedir que SQL malicioso seja executado sem que o usuário tenha a oportunidade de inspecioná-lo. Quais vulnerabilidades estão sendo abordadas? A vulnerabilidade permite que um invasor acesse conteúdo limitado das tabelas do Observability Analytics ou do BigQuery de um destino quando o destino visualiza um painel criado pelo invasor. A vulnerabilidade aproveita os canais de metadados do BigQuery para transmitir informações sobre o conteúdo da tabela do destino a um projeto controlado pelo invasor. Google Cloud A vulnerabilidade é agravada pelo comportamento das interfaces do painel de executar automaticamente consultas para preencher widgets com suporte a SQL, o que impede que o destino inspecione a consulta criada pelo invasor antes de executá-la com as credenciais. |
Alta |