一、 漏洞 CVE-2024-12236 基础信息
漏洞标题
启用VPC-SC时,使用自定义URI作为媒体输入可能导致数据外泄
来源:AIGC 神龙大模型
漏洞描述信息
在使用VPC-SC的Vertex Gemini API中存在一个安全问题。攻击者可以通过使用特定构造的文件URI作为图像输入,将请求路由到VPC-SC安全边界之外,从而绕过VPC-SC的预期安全限制,实现数据外泄。
无需进一步修复措施。Google Cloud Platform已经实现修复方案,当在fileUri参数中指定媒体文件URL且启用了VPC服务控制时,系统将返回错误消息。其他使用场景不受影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
Use of Custom URI for media inputs with VPC-SC enabled potentially leads to data exfiltration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security issue exists in Vertex Gemini API for customers using VPC-SC. By utilizing a custom crafted file URI for image input, data exfiltration is possible due to requests being routed outside the VPC-SC security perimeter, circumventing the intended security restrictions of VPC-SC.
No further fix actions are needed. Google Cloud Platform implemented a fix to return an error message when a media file URL is specified in the fileUri parameter and VPC Service Controls is enabled. Other use cases are unaffected.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对异常条件的处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Vertex AI 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Vertex AI是美国谷歌(Google)公司的一款 Google Cloud 控制台工具,用于快速构建生成式 AI 模型的原型和测试。 Google Vertex AI存在安全漏洞,该漏洞源于发生数据泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-12236 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-12236 的情报信息
-
标题: Security bulletins | Generative AI on Vertex AI | Google Cloud -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-12236