Ce mail provient de l'extérieur, restons vigilants

=====================================================================

                            CERT-Renater

                Note d'Information No. 2026/VULN203
_____________________________________________________________________

DATE                : 23/02/2026

HARDWARE PLATFORM(S): /

OPERATING SYSTEM(S): Systems running Google Vertex AI Experiments
                      versions prior to 1.133.0,
        Google google-cloud-aiplatform (SDK Vertex AI pour Python)
                      versions prior to 1.131.0.

=====================================================================
https://docs.cloud.google.com/support/bulletins?hl=fr#gcp-2026-012
https://docs.cloud.google.com/support/bulletins?hl=fr#gcp-2026-011
_____________________________________________________________________

GCP-2026-012

Date de publication : 20-02-2026
Description

Description 	              Gravité                   Remarques

Dans Google Cloud Vertex AI, une faille de sécurité impliquant une
dénomination prévisible des buckets a été identifiée dans Vertex AI
Experiments, de la version 1.21.0 à la version 1.133.0 (non incluse).

Que dois-je faire ?

Aucune action n'est requise de la part du client pour l'atténuation.

CVE-2026-2473 permet à un attaquant distant non authentifié d'exécuter
du code à distance entre locataires, de voler des modèles et de les
empoisonner en créant au préalable des buckets Cloud Storage avec des
noms prévisibles (squatting de buckets). Cette faille a été
identifiée dans la version 1.21.0 de Vertex AI Experiments. Des
mesures d'atténuation ont déjà été appliquées à la version 1.133.0
et aux versions ultérieures.

           Élevée           CVE-2026-2473

_____________________________________________________________________

GCP-2026-011

Date de publication : 20-02-2026
Description
Description 	Gravité 	Remarques

Une faille de script intersite (XSS) stockée dans
_genai/_evals_visualization a été identifiée dans Google
google-cloud-aiplatform (visualisation du SDK Vertex AI pour Python)
sur Exclusively-Hosted-Service.

Que dois-je faire ?

Les clients devront mettre à jour leur SDK Python
google-cloud-aiplatform vers la version 1.131.0 (publiée le 16/12/2025)
ou ultérieure pour bénéficier du correctif.

CVE-2026-2472 permet à un pirate informatique distant non authentifié
d'exécuter du code JavaScript arbitraire dans l'environnement Jupyter
ou Colab d'une victime en injectant des séquences d'échappement de
script dans les résultats de l'évaluation du modèle ou les données
JSON de l'ensemble de données. Cette faille a été identifiée dans
Google google-cloud-aiplatform (SDK Vertex AI pour Python) avant la
version 1.131.0.

	Élevée            CVE-2026-2472

=========================================================
+ CERT-RENATER        |    tel : 01-53-94-20-44         +
+ 23/25 Rue Daviel    |    fax : 01-53-94-20-41         +
+ 75013 Paris         |   email:cert@support.renater.fr +
=========================================================