What should I do next in practice?

Вразливість досі не виправлено, а внутрішній баг трекер Google досі позначає її як «прийнято, в роботі».

AnswersPublished2 days agoLast edited 2 days ago17 sources

Google спочатку похвалив дослідника, а потім відкликав винагороду за критичний баг CVSS 10.0 у GCP

Дослідник безпеки Джастін О'Лірі виявив критичний обхід IAM авторизації в Google Cloud Config Connector (ConfigConfusion) з рейтингом CVSS 10.0. Google спочатку присвоїв багу найвищий пріоритет (P1) і критичну серйозність (S1), назвавши його «чудовим уловом», а через 11 днів відкликав винагороду, заявивши, що це «ро...

Search & fact-check with Studio Global AI Browse more Trending pages

10K0

Abstract illustration of a Kubernetes cluster with a lock being bypassed by an unauthorized user, representing the ConfigConfusion IAM bypass vulnerability in Google Cloud Config C — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnThe ConfigConfusion vulnerability allows a Kubernetes namespace user to bypass GCP IAM controls and escalate to full organization-level admin rights.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
openai.com

Одна з найбільш заплутаних історій у сфері кібербезпеки цього року: Google спочатку похвалив дослідника за критичну вразливість у хмарній інфраструктурі, а потім відмовився платити винагороду, назвавши той самий баг «роботою в штатному режимі». І це при тому, що вразливість досі не виправлено. Про цю історію вперше повідомило видання The Register .

Що таке ConfigConfusion?

Дослідник безпеки Джастін О'Лірі (Justin O'Leary) виявив критичну ваду в Config Connector — відкритому додатку до Kubernetes, який дозволяє компаніям керувати всім середовищем Google Cloud через Kubernetes . Він назвав цю вразливість ConfigConfusion.

Як це працює: Config Connector не перевіряє авторизацію, коли користувач простору імен Kubernetes намагається керувати ресурсами GCP. Це дозволяє будь-якому сервісному обліковому запису Config Connector з правами на рівні організації обійти IAM-контроль Google Cloud і отримати найвищий рівень доступу — roles/owner — над цілою організацією GCP, тобто кореневим вузлом усіх ресурсів компанії . О'Лірі оцінює цю вразливість у CVSS 10.0 — максимальний бал, оскільки зловмисник із базовим доступом до простору імен Kubernetes може отримати повний адміністративний контроль над усією хмарою організації та всіма даними в ній .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Google спочатку похвалив дослідника, а потім відкликав винагороду за критичний баг CVSS 10.0 у GCP

Що таке ConfigConfusion?

Search, cite, and publish your own answer

People also ask

What is the short answer to "Google спочатку похвалив дослідника, а потім відкликав винагороду за критичний баг CVSS 10.0 у GCP"?

What are the key points to validate first?

What should I do next in practice?

Sources

Comments

Суперечлива реакція Google

Незакрита справа

Зміни в VRP Google 2026 року — ширший контекст