CRITICAL🇬🇧 English

CVE-2026-2031

Google Cloud Application Integration — RCE i ujawnienie danych przez niezabezpieczone wewnętrzne API

CVSS 10.0v4.0pub. 2026-05-15upd. 2026-05-18

Krytyczna podatność w Google Cloud Application Integration pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać dowolny kod oraz uzyskać dostęp do poufnych danych wewnętrznych. Wynika ona z nieprawidłowej kontroli dostępu do wewnętrznych punktów końcowych API, które zostały przypadkowo wystawione publicznie.

Pokaż oryginał (EN)

An Improper Access Control vulnerability in several internal API endpoints for Google Cloud Application Integration prior to 2026-01-23 allows a remote, unauthenticated attacker to disclose sensitive internal information and execute arbitrary code using specially crafted HTTP requests to inadvertently exposed internal API endpoints.

🤖 Analiza AI
Jak działa

Podatność (CWE-862 — brak wymaganej autoryzacji) polega na tym, że kilka wewnętrznych punktów końcowych API usługi Google Cloud Application Integration zostało przypadkowo udostępnionych bez właściwych mechanizmów uwierzytelniania i kontroli dostępu. Atakujący może wysyłać specjalnie spreparowane żądania HTTP do tych punktów końcowych bez żadnych poświadczeń. W efekcie możliwe jest zarówno ujawnienie wrażliwych danych wewnętrznych, jak i wykonanie dowolnego kodu po stronie serwera (RCE).

Skutki

Nieuwierzytelniony, zdalny atakujący może wykonać dowolny kod na serwerze (RCE) oraz uzyskać dostęp do poufnych informacji wewnętrznych, co może prowadzić do całkowitego przejęcia kontroli nad usługą i powiązanymi zasobami.

Mitygacja

Podatność została naprawiona po stronie producenta (Google) w ramach aktualizacji wdrożonej 2026-01-23. Jako usługa zarządzana (SaaS/PaaS), patch jest stosowany przez Google automatycznie po stronie infrastruktury. Użytkownicy powinni zweryfikować w dokumentacji producenta (release notes) czy ich środowisko korzysta z zaktualizowanej wersji oraz zastosować dodatkowe kontrole dostępu do API zgodnie z zaleceniami Google Cloud.

Kogo dotyczy

Google Cloud Application Integration w wersjach opublikowanych przed 2026-01-23

Uwagi

Data wdrożenia poprawki przez Google wskazana w opisie to 2026-01-23. Podatność dotyczy usługi zarządzanej — działania naprawcze leżą przede wszystkim po stronie producenta. CVE opublikowane 2026-05-15.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Clear
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje
CVE-2026-2031 — Google Cloud Application Integration — RCE i ujawnienie danych przez niezabezpieczone wewnętrzne API — CRITICAL 10.0 | CVEbaza.pl