Er is een kritiek veiligheidslek ontdekt in de NPM package installatiemethode van Google Cloud Dataform (CVE-2025-9118). Deze kwetsbaarheid laat een externe aanvaller toe om via een kwaadaardig geprepareerd package.json bestand, bestanden te lezen en schrijven in de repositories van andere klanten.
Het probleem heeft het potentieel om zonder gebruikersinteractie misbruikt te worden met hoge impact op vertrouwelijkheid, integriteit en beschikbaarheid, wat dringend aandacht vereist.
Overzicht
De kwetsbaarheid komt voor bij Google Cloud Dataform en betreft een Path Traversal probleem (CWE-22). Hierdoor kan een aanvaller door middel van een misleidend package.json bestand toegang krijgen tot bestanden van andere klanten.
Geïmpacteerde Producten
De versie van Google Cloud Dataform geïdentificeerd als ’08/7/2025′ is kwetsbaar wanneer deze geïnstalleerd is vóór de datum ’08/21/2025′.
Aanbevelingen
- Controleer of uw Google Cloud Dataform installatie up-to-date is en zorg ervoor dat elke kwetsbare versie is bijgewerkt naar de meest recente versie.
- Beperk de installatie en het updaten van NPM packages enkel tot vertrouwde bronnen.
- Implementeer verdere toegangscontroles om het risico te verminderen dat een kwaadwillende gebruiker toegang krijgt tot uw repositories.
Bronnen
Meer details en de officiële veiligheidsmelding zijn te vinden op de Google Cloud Documentatie.
