RespuestasPublicadoanteayerLast edited anteayer16 fuentes

La polémica vulnerabilidad en GCP Config Connector que Google calificó como ‘funciona según lo previsto’ y se niega a corregir

El investigador Justin O'Leary reportó un fallo crítico en Google Config Connector que permite a cualquier usuario de un namespace de Kubernetes eludir los controles IAM de GCP y obtener control total sobre la cuenta... Google inicialmente aceptó el reporte como de alta prioridad y alta severidad, y un representante...

Buscar y verificar hechos con Studio Global AI Explora más páginas en tendencia

37K0

Researcher Justin O'Leary found a CVSS 10.0 privilege escalation vulnerability in Google's Config Connector that could let any Kubernetes namespace user take full control of a GCP — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnGoogle initially accepted a critical IAM bypass bug in Config Connector before denying the bounty and leaving the flaw unfixed.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, based primarily on The Register's exclusive report [8] and corroborated by other outlets [2][9].. Topic tags: general, general web, user generated, academic, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make i
openai.com

Aquí tienes la historia completa, basada principalmente en el informe exclusivo de The Register y corroborado por otros medios .

La vulnerabilidad: omisión de autorización IAM en Config Connector

El investigador de seguridad Justin O'Leary descubrió una falla crítica de escalada de privilegios en Config Connector de Google —un operador de Kubernetes (una herramienta) que permite a las organizaciones gestionar recursos de GCP (como almacenamiento en la nube, bases de datos, políticas IAM) a través de comandos de Kubernetes .

Detalle técnico: La falla permite que cualquier usuario de un namespace de Kubernetes omita los controles de Identity and Access Management (IAM) de Google Cloud Platform. Un desarrollador con acceso básico a un solo namespace de Kubernetes podría explotar esto para obtener —de hecho, apoderarse de toda la cuenta en la nube . O'Leary calificó esta vulnerabilidad con un —la máxima severidad posible .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Buscar y verificar hechos con Studio Global AI

La gente también pregunta

¿Cuál es la respuesta corta a "La polémica vulnerabilidad en GCP Config Connector que Google calificó como ‘funciona según lo previsto’ y se niega a corregir"?

¿Cuáles son los puntos clave a validar primero?

¿Qué debo hacer a continuación en la práctica?

A pesar de la gravedad del fallo, valorado con un CVSS 10.0, Google no ha emitido ningún parche ni pagado la recompensa correspondiente.

Fuentes

Comments

0 comments

Loading comments...