Boletines de seguridad

A continuación, se describen todos los boletines de seguridad relacionados con Vertex AI.

GCP-2024-063

Publicado: 6-12-2024

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en la API de Vertex AI que entregaba solicitudes multimodales de Gemini, lo que permitía omitir los Controles del servicio de VPC. Un atacante podría abusar del parámetro fileURI de la API para extraer datos.

¿Qué debo hacer?

No se requiere ninguna acción. Implementamos una solución para mostrar un mensaje de error cuando se especifica una URL de archivo multimedia en el parámetro fileUri y están habilitados los Controles del servicio de VPC. Los demás casos de uso no se ven afectados.

¿Qué vulnerabilidades se abordan?

La API de Vertex AI que entrega solicitudes multimodales de Gemini te permite incluir archivos multimedia especificando la URL del archivo multimedia en el parámetro fileUri. Esta función se puede usar para omitir los perímetros de los Controles del servicio de VPC. Un atacante dentro del perímetro de servicio podría codificar datos sensibles en el parámetro fileURI para eludir el perímetro de servicio.

Medio CVE-2024-12236