בדף הזה מתוארים כל עדכוני האבטחה הדחופים שקשורים ל-Google Cloud Observability.
GCP-2026-009
תאריך פרסום: 13 בפברואר 2026
| תיאור | רמת סיכון | הערות |
|---|---|---|
אפשר להגדיר גרסאות של ממשק המשתמש של Log Analytics מלפני ינואר 2026 כך שיפעילו אוטומטית שאילתות SQL. פגיעות יכולה לאפשר לתוקף ליצור כתובת URL של שאילתה, שאם מישהו עם פרטי כניסה יפתח אותה, הוא יוכל לגשת לתוכן הטבלה או לשלם עלות שאילתה. פעולות מומלצות לא נדרשת פעולה מצד המשתמש. הפגיעות תוקנה, וממשקי המשתמש המושפעים עודכנו בינואר 2026 כדי לכלול נקודות התערבות שימנעו הפעלה של SQL זדוני בלי שהמשתמש יוכל לבדוק אותו. אילו נקודות חולשה טופלו? הפגיעות יכולה לאפשר לתוקף לגשת לתוכן מוגבל של טבלאות Log Analytics או BigQuery של יעד, כשהיעד מריץ שאילתת SQL שנוצרה על ידי התוקף. הפגיעות מאפשרת להעביר מידע על תוכן הטבלה של היעד לפרויקט Google Cloud בשליטת התוקף באמצעות יומני ביקורת של BigQuery. הפגיעות מחמירה בגלל ההתנהגות של ממשקי Log Analytics, שמבצעים באופן אוטומטי שאילתות שמוטמעות בכתובת ה-URL. כך, היעד לא יכול לבדוק את השאילתה שנוצרה על ידי התוקף לפני שהוא מבצע אותה באמצעות פרטי הכניסה שלו. |
גבוהה |
GCP-2026-005
תאריך פרסום: 28 בינואר 2026
| תיאור | רמת סיכון | הערות |
|---|---|---|
נקודת החולשה הזו משפיעה על ממשק Log Analytics ועל ממשק לוחות הבקרה של Cloud Monitoring בגרסאות שקדמו לינואר 2026. פעולות מומלצות לא נדרשת פעולה מצד המשתמש. ממשקי המשתמש שהושפעו מכך עודכנו בינואר 2026 כדי לכלול נקודות התערבות שימנעו הפעלה של SQL זדוני בלי שהמשתמש יוכל לבדוק אותו. אילו נקודות חולשה טופלו? נקודת החולשה מאפשרת לתוקף לגשת לתוכן מוגבל של טבלאות Log Analytics או טבלאות ב-BigQuery של היעד, כשהיעד צופה במרכז בקרה שנוצר על ידי התוקף. נקודת החולשה מנצלת ערוצי מטא-נתונים של BigQuery כדי להעביר מידע על תוכן הטבלה של היעד לפרויקט Google Cloud שנמצא בשליטת התוקף. הפגיעות מחמירה בגלל התנהגות הממשקים של מרכזי הבקרה, שמבצעים אוטומטית שאילתות כדי לאכלס ווידג'טים שמגובים ב-SQL. כך, היעד לא יכול לבדוק את השאילתה שנוצרה על ידי התוקף לפני שהוא מבצע אותה באמצעות פרטי הכניסה שלו. |
גבוהה |