Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Gemini Enterprise (formerly Agentspace) de Google Cloud (CVE-2026-1727)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
06/02/2026
Última modificación:
09/02/2026

Descripción

El servicio Agentspace se vio afectado por una vulnerabilidad que expuso información sensible debido al uso de nombres predecibles para los buckets de Google Cloud Storage. Estos nombres se utilizaron para registros de errores y preparación temporal durante las importaciones de datos desde GCS y Cloud SQL. Esta predictibilidad permitió a un atacante participar en &amp;#39;bucket squatting&amp;#39; al establecer estos buckets antes del uso inicial de una víctima.<br /> <br /> Todas las versiones posteriores al 12 de diciembre de 2025 se han actualizado para protegerse de esta vulnerabilidad. No se requiere ninguna acción del usuario para esto.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:L/SA:L/U:Clear CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:L/SA:L/U:Clear

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo
Provider Urgency (U): Limpiar

Puntuación base 4.0
9.10
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información