Vulnerabilidad en Vertex Gemini API (CVE-2024-12236)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/12/2024
Última modificación:
23/07/2025
Descripción
Existe un problema de seguridad en la API de Vertex Gemini para los clientes que usan VPC-SC. Al utilizar una URL de archivo personalizada para la entrada de imágenes, es posible la exfiltración de datos debido a que las solicitudes se enrutan fuera del perímetro de seguridad de VPC-SC, lo que elude las restricciones de seguridad previstas de VPC-SC. No se necesitan más acciones de reparación. Google Cloud Platform implementó una solución para devolver un mensaje de error cuando se especifica la URL de un archivo multimedia en el parámetro fileUri y se habilitan los controles de servicio de VPC. Otros casos de uso no se ven afectados.
Impacto
Puntuación base 4.0
6.80
Gravedad 4.0
MEDIA
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:google:vertex_gemini_api:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página