Boletines de seguridad

En esta página, se describen todos los boletines de seguridad relacionados con Google Cloud Observability.

GCP-2026-009

Publicado: 2026-02-13

Descripción	Gravedad	Notas
Las versiones de la interfaz de usuario de Log Analytics anteriores a enero de 2026 se pueden configurar para ejecutar automáticamente consultas en SQL. Una vulnerabilidad puede permitir que un atacante cree una URL de consulta que, cuando la abre alguien con credenciales, podría acceder al contenido de la tabla o generar un costo de consulta. ¿Qué debo hacer? No se requiere ninguna acción del usuario. Se corrigió la vulnerabilidad y se actualizaron las interfaces de usuario afectadas en enero de 2026 para incluir puntos de intervención que impidan que se ejecute código SQL malicioso sin que el usuario tenga la oportunidad de inspeccionarlo. ¿Qué vulnerabilidades se abordan? La vulnerabilidad puede permitir que un atacante acceda al contenido limitado de las tablas de Log Analytics o BigQuery de un objetivo cuando este ejecuta una consulta en SQL creada por el atacante. La vulnerabilidad aprovecha los registros de auditoría de BigQuery para transmitir información sobre el contenido de la tabla del objetivo a un proyecto Google Cloud controlado por el atacante. La vulnerabilidad se agrava por el comportamiento de las interfaces de Log Analytics, que ejecutan automáticamente las consultas incorporadas en la URL, lo que impide que el objetivo inspeccione la consulta creada por el atacante antes de ejecutarla con sus credenciales.	Alta

Descripción

Gravedad

Notas

Las versiones de la interfaz de usuario de Log Analytics anteriores a enero de 2026 se pueden configurar para ejecutar automáticamente consultas en SQL. Una vulnerabilidad puede permitir que un atacante cree una URL de consulta que, cuando la abre alguien con credenciales, podría acceder al contenido de la tabla o generar un costo de consulta.

¿Qué debo hacer?

No se requiere ninguna acción del usuario. Se corrigió la vulnerabilidad y se actualizaron las interfaces de usuario afectadas en enero de 2026 para incluir puntos de intervención que impidan que se ejecute código SQL malicioso sin que el usuario tenga la oportunidad de inspeccionarlo.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad puede permitir que un atacante acceda al contenido limitado de las tablas de Log Analytics o BigQuery de un objetivo cuando este ejecuta una consulta en SQL creada por el atacante.

La vulnerabilidad aprovecha los registros de auditoría de BigQuery para transmitir información sobre el contenido de la tabla del objetivo a un proyecto Google Cloud controlado por el atacante. La vulnerabilidad se agrava por el comportamiento de las interfaces de Log Analytics, que ejecutan automáticamente las consultas incorporadas en la URL, lo que impide que el objetivo inspeccione la consulta creada por el atacante antes de ejecutarla con sus credenciales.

Alta

GCP-2026-005

Publicado: 28-01-2026

Descripción	Gravedad	Notas
Esta vulnerabilidad afecta a las versiones de la interfaz de Log Analytics y de la interfaz de paneles de Cloud Monitoring anteriores a enero de 2026. ¿Qué debo hacer? No se requiere ninguna acción del usuario. Las interfaces de usuario afectadas se actualizaron en enero de 2026 para incluir puntos de intervención que impidan que se ejecute SQL malicioso sin que el usuario tenga la oportunidad de inspeccionarlo. ¿Qué vulnerabilidades se abordan? La vulnerabilidad permite que un atacante acceda a contenido limitado de las tablas de Log Analytics o BigQuery de un objetivo cuando este ve un panel creado por el atacante. La vulnerabilidad aprovecha los canales de metadatos de BigQuery para transmitir información sobre el contenido de la tabla del objetivo a un proyecto Google Cloud controlado por el atacante. La vulnerabilidad se agrava por el comportamiento de las interfaces del panel, que ejecutan automáticamente consultas para completar widgets respaldados por SQL, lo que impide que el objetivo inspeccione la consulta creada por el atacante antes de ejecutarla con sus credenciales.	Alta

Descripción

Gravedad

Notas

Esta vulnerabilidad afecta a las versiones de la interfaz de Log Analytics y de la interfaz de paneles de Cloud Monitoring anteriores a enero de 2026.

¿Qué debo hacer?

No se requiere ninguna acción del usuario. Las interfaces de usuario afectadas se actualizaron en enero de 2026 para incluir puntos de intervención que impidan que se ejecute SQL malicioso sin que el usuario tenga la oportunidad de inspeccionarlo.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad permite que un atacante acceda a contenido limitado de las tablas de Log Analytics o BigQuery de un objetivo cuando este ve un panel creado por el atacante.

La vulnerabilidad aprovecha los canales de metadatos de BigQuery para transmitir información sobre el contenido de la tabla del objetivo a un proyecto Google Cloud controlado por el atacante. La vulnerabilidad se agrava por el comportamiento de las interfaces del panel, que ejecutan automáticamente consultas para completar widgets respaldados por SQL, lo que impide que el objetivo inspeccione la consulta creada por el atacante antes de ejecutarla con sus credenciales.

Alta

Boletines de seguridad Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

GCP-2026-009

GCP-2026-005

Boletines de seguridad