Уязвимость в Google Cloud Vertex AI Workbench с 21 июля 2025 г. по 30 января 2026 г. позволяет злоумышленнику получить действительные токены доступа к Google Cloud других пользователей путем злоупотребления встроенным сценарием запуска. Все экземпляры после 30 января 2026 г. были исправлены для защиты от этой уязвимости. Никаких действий пользователя для этого не требуется.
Показать оригинальное описание (EN)
A vulnerability in Google Cloud Vertex AI Workbench from 7/21/2025 to 01/30/2026 allows an attacker to exfiltrate valid Google Cloud access tokens of other users via abuse of a built-in startup script. All instances after January 30th, 2026 have been patched to protect from this vulnerability. No user action is required for this.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0