Boletins de segurança | Google Security Operations

Esta página foi traduzida pela API Cloud Translation.

Nesta página, você encontra todos os boletins de segurança relacionados ao Google Security Operations.

GCP-2025-049

Publicado em: 04/09/2025

Descrição

Descrição	Gravidade	Observações
Uma vulnerabilidade crítica foi encontrada nas versões 6.3.54.0 e 6.3.53.2 do Google Security Operations SOAR. Um usuário autenticado com permissões para fazer upload de arquivos ZIP (por exemplo, ao importar casos de uso) pode enviar um arquivo ZIP capaz de gravar arquivos em locais arbitrários no sistema de arquivos do servidor. O sistema para extrair arquivos de arquivos ZIP não conseguiu impedir que os arquivos dentro do arquivo fossem gravados fora da pasta de destino pretendida. Isso também é conhecido como vulnerabilidade de travessia de diretório ou Zip Slip. O que devo fazer? Nenhuma ação do cliente é necessária. Todos os clientes receberam automaticamente o upgrade para a versão corrigida ou uma mais recente: 6.3.54.1 ou 6.3.53.3. Quais vulnerabilidades estão sendo abordadas? Um invasor pode explorar essa vulnerabilidade para substituir arquivos de aplicativos. Ao substituir um arquivo JavaScript usado pelo recurso de geração de relatórios, um invasor pode realizar a execução remota de código (RCE) na instância do Google SecOps SOAR. O invasor pode executar o próprio código no servidor.	Alta	CVE-2025-9918

Gravidade

Observações

Uma vulnerabilidade crítica foi encontrada nas versões 6.3.54.0 e 6.3.53.2 do Google Security Operations SOAR. Um usuário autenticado com permissões para fazer upload de arquivos ZIP (por exemplo, ao importar casos de uso) pode enviar um arquivo ZIP capaz de gravar arquivos em locais arbitrários no sistema de arquivos do servidor.

O sistema para extrair arquivos de arquivos ZIP não conseguiu impedir que os arquivos dentro do arquivo fossem gravados fora da pasta de destino pretendida. Isso também é conhecido como vulnerabilidade de travessia de diretório ou Zip Slip.

O que devo fazer?

Nenhuma ação do cliente é necessária. Todos os clientes receberam automaticamente o upgrade para a versão corrigida ou uma mais recente: 6.3.54.1 ou 6.3.53.3.

Quais vulnerabilidades estão sendo abordadas?

Um invasor pode explorar essa vulnerabilidade para substituir arquivos de aplicativos. Ao substituir um arquivo JavaScript usado pelo recurso de geração de relatórios, um invasor pode realizar a execução remota de código (RCE) na instância do Google SecOps SOAR. O invasor pode executar o próprio código no servidor.

Alta

CVE-2025-9918

GCP-2023-028

Publicado em: 19/09/2023

Atualizado em: 29/05/2024

Descrição

Descrição	Gravidade	Observações
Atualização de 29/05/2024: os novos feeds não usam mais a conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais e evita interrupções no serviço. As mudanças na fonte em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando os feeds antigos normalmente, desde que não mudem a fonte. Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até pouco tempo, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Uma oportunidade existia para que a instância do Google SecOps de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Depois de realizar uma análise de impacto, não encontramos nenhuma exploração atual ou anterior dessa vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google SecOps anteriores a 19 de setembro de 2023. O que devo fazer? Em 19 de setembro de 2023, o Google SecOps foi atualizado para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária. Quais vulnerabilidades estão sendo abordadas? Antes, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como diferentes clientes concederam permissão à mesma conta de serviço do Google SecOps para o bucket, havia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro quando um feed estava sendo criado ou modificado. Esse vetor de exploração exigia conhecimento sobre o URI do bucket. Agora, durante a criação ou modificação de feeds, o Google SecOps usa contas de serviço exclusivas para cada cliente.	Alta

Gravidade

Observações

Atualização de 29/05/2024: os novos feeds não usam mais a conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais e evita interrupções no serviço. As mudanças na fonte em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando os feeds antigos normalmente, desde que não mudem a fonte.

Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até pouco tempo, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Uma oportunidade existia para que a instância do Google SecOps de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Depois de realizar uma análise de impacto, não encontramos nenhuma exploração atual ou anterior dessa vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google SecOps anteriores a 19 de setembro de 2023.

O que devo fazer?

Em 19 de setembro de 2023, o Google SecOps foi atualizado para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo abordadas?

Antes, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como diferentes clientes concederam permissão à mesma conta de serviço do Google SecOps para o bucket, havia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro quando um feed estava sendo criado ou modificado. Esse vetor de exploração exigia conhecimento sobre o URI do bucket. Agora, durante a criação ou modificação de feeds, o Google SecOps usa contas de serviço exclusivas para cada cliente.

Alta