答案已發布前天Last edited 前天17 來源

Google「你好嘢」變「正常運作」— CVSS 10.0漏洞賞金被拒，三個月未修

安全研究員Justin O'Leary發現Google Cloud Config Connector存在嚴重IAM授權繞過漏洞，命名為ConfigConfusion，評為CVSS 10.0最高風險等級。 Google最初在2026年3月27日接受報告並讚好「Nice Catch!」，列為P1最高優先級和S1最嚴重等級，但11日後於4月7日由安全Bot改口稱「正常運作」拒絕發放任何賞金。

使用 Studio Global AI 搜尋並查核事實瀏覽更多熱門頁面

10K0

Abstract illustration of a Kubernetes cluster with a lock being bypassed by an unauthorized user, representing the ConfigConfusion IAM bypass vulnerability in Google Cloud Config C — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnThe ConfigConfusion vulnerability allows a Kubernetes namespace user to bypass GCP IAM controls and escalate to full organization-level admin rights.
AI 提示
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
openai.com

今年其中一個最令人困惑嘅安全政策逆轉事件：Google拒絕為一個嚴重、未修復嘅Cloud Config Connector漏洞發放賞金——最初明明讚賞研究員，仲將漏洞評為最高嚴重等級。呢件事由《The Register》率先報道，令安全社群質疑Google對研究員信任嘅承諾，以及佢哋處理雲端基建漏洞嘅手法。

ConfigConfusion漏洞

安全研究員Justin O'Leary發現Config Connector有一個嚴重漏洞，Config Connector係一個開放原始碼嘅Kubernetes插件，讓機構可以透過Kubernetes管理整個Google Cloud環境。佢將呢個漏洞命名為ConfigConfusion。

技術細節： Config Connector喺Kubernetes命名空間用戶嘗試管理GCP資源時，冇進行授權檢查。呢個漏洞容許任何具有組織級權限嘅Config Connector服務帳戶繞過GCP嘅Identity and Access Management（IAM）控制，提升到最高控制級別——roles/owner——控制整個GCP組織，而組織係Google Cloud入面所有公司資源嘅根節點。O'Leary將呢個漏洞評為CVSS 10.0，係最高嚴重等級，因為攻擊者只要擁有一啲基本嘅Kubernetes命名空間存取權，就可以完全控制整個組織嘅雲端環境同所有儲存喺裏面嘅數據。

Google矛盾嘅回應

Google嘅回應簡直係令人頭暈嘅矛盾。

第一階段——「你好嘢！」 O'Leary喺2026年3月8日向Google報告呢個漏洞。，一位Google安全工程師接受咗報告，同佢講「你好嘢！」。工程師話佢哋已經將錯誤提交畀相關產品團隊，並向O'Leary保證會同Google Cloud合作修復漏洞，仲寫道：「我哋會同產品團隊合作確保呢個問題得到解決。當問題修復咗之後，我哋會話畀你知。」。Google將呢個漏洞列為（最高）同（最嚴重——影響大量用戶，可以干擾核心組織功能）。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查核事實

人們還問