PT-2025-50307 · Google Cloud · Dialogflow Cx
Asterfiester
·
Publicado
2025-12-10
·
Atualizado
2025-12-10
·
CVE-2025-12952
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Clear |
Nome do Software Vulnerável e Versões Afetadas
Google Cloud Dialogflow CX (versões afetadas não especificadas)
Descrição
Existe um problema de escalonamento de privilégios no Dialogflow CX do Google Cloud. Desenvolvedores com permissão de editor de Webhook podem configurar Webhooks usando autenticação por token de acesso do agente de serviço do Dialogflow. Isso permite que um atacante escale privilégios do nível de agente para o nível de projeto, obtendo acesso não autorizado para gerenciar recursos do projeto, potencialmente levando a custos inesperados e esgotamento de recursos. O problema envolve o uso de tokens de acesso do agente de serviço do Dialogflow para autenticação de Webhook.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dialogflow Cx