Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio Application Integration de Google Cloud. La falla, identificada como CVE-2026-2031, explotaba una debilidad de control de acceso que permitía acceder a endpoints internos y desencadenar llamadas RPC arbitrarias con privilegios elevados en el entorno de producción.
CVE y severidad
- CVE: CVE-2026-2031
- Severidad: Crítica (CVSS: 10.0)
- Clase: Ejecución remota de código (RCE) mediante fuga de información y manipulación de flujos de trabajo internos.
- Impacto: Acceso completo a servicios internos de Google Cloud, incluyendo datos sensibles y capacidad de ejecución arbitraria de código en el entorno de producción.
Productos afectados
La vulnerabilidad afecta al servicio Google Cloud Application Integration, específicamente a sus endpoints internos y APIs de gestión de flujos de trabajo (workflows). No se especifica una versión concreta, pero la explotación requería acceso a instancias de producción del servicio.
Solución
Google implementó restricciones de acceso a endpoints internos, corrigió debilidades de Insecure Direct Object References (IDOR) y reforzó los controles de seguridad en las comunicaciones RPC (Remote Procedure Call). Se recomienda verificar la aplicación de las actualizaciones en el entorno de producción.
Recomendaciones
Las organizaciones que utilicen Google Cloud Application Integration deben priorizar la aplicación de las correcciones proporcionadas por Google. Se sugiere monitorear los logs de autenticación y acceso a APIs internas para detectar comportamientos anómalos. Linux/Windows: Asegurar que los roles de usuario cumplan con el principio de menor privilegio y revisar los permisos en los endpoints afectados.