在 Google Security Operations SOAR 版本 6.3.54.0 和 6.3.53.2 中发现了一个严重漏洞。经过身份验证且有权上传 ZIP 文件（例如，在导入用例时）的用户可以上传能够将文件写入服务器文件系统上任意位置的 ZIP 归档文件。

用于从 ZIP 归档中提取文件的系统无法阻止归档中的文件被写入其预期目标文件夹之外的位置。此漏洞也称为目录遍历或 Zip Slip 漏洞。

该怎么做？

客户无需采取任何操作。所有客户都已自动升级到修复后的版本或更高版本：6.3.54.1 或 6.3.53.3

解决了哪些漏洞？

攻击者可以利用此漏洞覆盖应用文件。通过覆盖报告生成功能使用的 JavaScript 文件，攻击者可以在 Google SecOps SOAR 实例上实现远程代码执行 (RCE)。攻击者可以在服务器上运行自己的代码。

客户可以配置 Google SecOps，以使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中注入数据。直到最近，Google SecOps 团队才提供了一个共享服务账号，客户可使用该账号向存储桶授予权限。存在一种情况，即某个客户的 Google SecOps 实例可以配置为从另一个客户的 Cloud Storage 存储桶中注入数据。在执行影响分析后，我们发现目前或之前没有出现过利用此漏洞的情况。在 2023 年 9 月 19 日之前的所有 Google SecOps 版本中，都存在此漏洞。

该怎么做？

截至 2023 年 9 月 19 日，Google SecOps 已更新，可解决此漏洞。客户无需采取任何操作。

解决了哪些漏洞？

以前，Google SecOps 团队会提供一个共享服务账号，客户可使用该账号向存储桶授予权限。由于不同的客户向自己的存储桶授予了相同的 Google SecOps 服务账号权限，因此存在一种利用方式，即在创建或修改 Feed 时，某个客户的 Feed 可以访问其他客户的存储桶。此利用向量需要了解存储桶 URI。现在，在创建或修改 Feed 期间，Google SecOps 会为每位客户使用唯一的服务账号。