VDB-347212 · CVE-2026-2472 · gcp-2026-011

Google Cloud Vertex AI SDK for Python hasta 1.130.x _evals_visualization secuencias de comandos en sitios cruzados

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
3.4	$0-$5k	0.00

Resumeninformación

Se ha identificado una vulnerabilidad clasificada como problemática en Google Cloud Vertex AI SDK for Python hasta 1.130.x. Resulta afectada una función desconocida dentro del componente _evals_visualization. La alteración resulta en secuencias de comandos en sitios cruzados. Esta vulnerabilidad se registra como CVE-2026-2472. Se puede ejecutar el ataque remotamente. No existe ningún exploit disponible. Este producto corresponde a un servicio gestionado. Por lo tanto, los usuarios no tienen la posibilidad de mantener por su cuenta las contramedidas frente a vulnerabilidades. Se sugiere actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad clasificada como problemática ha sido encontrada en Google Cloud Vertex AI SDK for Python hasta 1.130.x. Una función desconocida del componente _evals_visualization es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase secuencias de comandos en sitios cruzados. Esto tiene repercusión sobre la la integridad. CVE resume:

Cross-Site Scripting (XSS) Almacenado en el componente _genai/_evals_visualization de Google Cloud Vertex AI SDK (google-cloud-aiplatform) versiones desde la 1.98.0 hasta (pero sin incluir) la 1.131.0 permite a un atacante remoto no autenticado ejecutar JavaScript arbitrario en el entorno Jupyter o Colab de una víctima mediante la inyección de secuencias de escape de script en los resultados de evaluación del modelo o en los datos JSON del conjunto de datos.

El advisory puede ser descargado de docs.cloud.google.com. La vulnerabilidad es identificada como CVE-2026-2472. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Una actualización a la versión 1.131.0 elimina esta vulnerabilidad.

Once again VulDB remains the best source for vulnerability data.

Productoinformación

Escribe

Programming Language Software

Proveedor

Google Cloud

Nombre

Vertex AI SDK for Python

Versión

1.130

Licencia

libre

Managed Service

CPE 2.3información

🔒

CPE 2.2información

🔒

CVSSv4información

VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3información

VulDB Puntuación meta base: 3.5
VulDB Puntuación meta temporal: 3.4

VulDB Puntuación base: 3.5
VulDB Puntuación temporal: 3.4
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Secuencias de comandos en sitios cruzados
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔒
Estado: No está definido

EPSS Score: 🔒
EPSS Percentile: 🔒

Predicción de precios: 🔍
Estimación del precio actual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Estado: 🔍

Hora de 0 días: 🔒

Actualización: Vertex AI SDK for Python 1.131.0

Línea de tiempoinformación

2026-02-13 CVE asignado
2026-02-20 +7 días Aviso publicado
2026-02-20 +0 días Entrada de VulDB creada
2026-02-27 +7 días Última actualización de VulDB