Bollettini sulla sicurezza | Google Security Operations

Questa pagina è stata tradotta dall'API Cloud Translation.

Questa pagina fornisce tutti i bollettini di sicurezza relativi a Google Security Operations.

GCP-2025-049

Pubblicato il: 04/09/2025

Descrizione

Descrizione	Gravità	Note
È stata rilevata una vulnerabilità critica nelle versioni 6.3.54.0 e 6.3.53.2 di Google Security Operations SOAR. Un utente autenticato con autorizzazioni per caricare file ZIP (ad esempio, durante l'importazione di casi d'uso) potrebbe caricare un archivio ZIP in grado di scrivere file in posizioni arbitrarie nel file system del server. Il sistema per l'estrazione dei file dagli archivi ZIP non è riuscito a impedire la scrittura dei file all'interno dell'archivio al di fuori della cartella di destinazione prevista. Questa vulnerabilità è nota anche come Directory Traversal o Zip Slip. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. Per tutti i clienti è stato eseguito automaticamente l'upgrade alla versione corretta o a una versione successiva: 6.3.54.1 o 6.3.53.3 Quali vulnerabilità vengono affrontate? Un malintenzionato potrebbe sfruttare questa vulnerabilità per sovrascrivere i file dell'applicazione. Sovrascrivendo un file JavaScript utilizzato dalla funzionalità di generazione dei report, un malintenzionato potrebbe ottenere l'esecuzione di codice remoto (RCE) nell'istanza Google SecOps SOAR. L'attaccante potrebbe eseguire il proprio codice sul server.	Alta	CVE-2025-9918

Gravità

Note

È stata rilevata una vulnerabilità critica nelle versioni 6.3.54.0 e 6.3.53.2 di Google Security Operations SOAR. Un utente autenticato con autorizzazioni per caricare file ZIP (ad esempio, durante l'importazione di casi d'uso) potrebbe caricare un archivio ZIP in grado di scrivere file in posizioni arbitrarie nel file system del server.

Il sistema per l'estrazione dei file dagli archivi ZIP non è riuscito a impedire la scrittura dei file all'interno dell'archivio al di fuori della cartella di destinazione prevista. Questa vulnerabilità è nota anche come Directory Traversal o Zip Slip.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Per tutti i clienti è stato eseguito automaticamente l'upgrade alla versione corretta o a una versione successiva: 6.3.54.1 o 6.3.53.3

Quali vulnerabilità vengono affrontate?

Un malintenzionato potrebbe sfruttare questa vulnerabilità per sovrascrivere i file dell'applicazione. Sovrascrivendo un file JavaScript utilizzato dalla funzionalità di generazione dei report, un malintenzionato potrebbe ottenere l'esecuzione di codice remoto (RCE) nell'istanza Google SecOps SOAR. L'attaccante potrebbe eseguire il proprio codice sul server.

Alta

CVE-2025-9918

GCP-2023-028

Pubblicato il: 19/09/2023

Ultimo aggiornamento: 29/05/2024

Descrizione

Descrizione	Gravità	Note
Aggiornamento del 29 maggio 2024: i nuovi feed non utilizzano più il account di servizio condiviso, ma questo rimane attivo per i feed esistenti per evitare interruzioni del servizio. Le modifiche all'origine nei feed meno recenti sono bloccate per evitare l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare i loro vecchi feed normalmente, a condizione che non cambino l'origine. I clienti possono configurare Google SecOps per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google SecOps forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità in base alla quale l'istanza Google SecOps di un cliente poteva essere configurata per importare dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo riscontrato sfruttamenti attuali o precedenti di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google SecOps precedenti al 19 settembre 2023. Che cosa devo fare? A partire dal 19 settembre 2023, Google SecOps è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente. Quali vulnerabilità vengono affrontate? In precedenza, Google SecOps forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi hanno concesso la stessa autorizzazione all'account di servizio Google SecOps per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente durante la creazione o la modifica di un feed. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Google SecOps utilizza service account unici per ogni cliente.	Alta

Gravità

Note

Aggiornamento del 29 maggio 2024: i nuovi feed non utilizzano più il account di servizio condiviso, ma questo rimane attivo per i feed esistenti per evitare interruzioni del servizio. Le modifiche all'origine nei feed meno recenti sono bloccate per evitare l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare i loro vecchi feed normalmente, a condizione che non cambino l'origine.

I clienti possono configurare Google SecOps per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google SecOps forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità in base alla quale l'istanza Google SecOps di un cliente poteva essere configurata per importare dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo riscontrato sfruttamenti attuali o precedenti di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google SecOps precedenti al 19 settembre 2023.

Che cosa devo fare?

A partire dal 19 settembre 2023, Google SecOps è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Google SecOps forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi hanno concesso la stessa autorizzazione all'account di servizio Google SecOps per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente durante la creazione o la modifica di un feed. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Google SecOps utilizza service account unici per ogni cliente.

Alta