Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「GCP」に他テナントのリポジトリを乗っ取れる脆弱性 - 5月に修正

Google Cloudは現地時間2026年7月13日、同社クラウドの一部サービスが影響を受けるおそれがあった深刻な脆弱性を明らかにした。同年5月に修正済みだという。

同社は同日セキュリティアドバイザリを公開し、リポジトリの作成機能に認可処理が欠落していることに起因する脆弱性「CVE-2026-14934」が見つかったことを明らかにした。

「Google Cloud Platform」で提供されている「BigQuery」「Dataform」「Colab Enterprise」などが影響を受けるおそれがあったという。

認証されたユーザーがリポジトリを作成する際、権限を昇格させ、異なるテナントに属するリポジトリを乗っ取ることが可能だった。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.4」、重要度は4段階中もっとも高い「クリティカル(Critical)」とされている。

2025年10月から2026年5月10日にかけて「Google Cloud Platform」で稼働していたサービスが影響を受けるおそれがあったが、同社では2026年5月10日に脆弱性を修正したと説明。すべての製品やサービスにおいて緩和策が適用されており、利用者による脆弱性への対応は不要としている。

(Security NEXT - 2026/07/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

iOS版「Firefox」にアップデート - 悪意あるページのPDF保存時に影響
「Django」にセキュリティ更新 - 複数の脆弱性に対応
「ServiceNow AI Platform」にRCE脆弱性 - 修正版を提供
分散ストレージ基盤「NVIDIA AIStore Framework」に脆弱性
Joomla向け機能拡張「iCagenda」「Balbooa Forms」の脆弱性悪用に注意
BeyondTrustのリモートアクセス製品に複数の脆弱性
「GNU Wget」にSSRF脆弱性 - 連携利用環境なども注意
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正