JoshuaProvoste/CVE-2026-2472-Vertex-AI-SDK-Google-Cloud
GitHub: JoshuaProvoste/CVE-2026-2472-Vertex-AI-SDK-Google-Cloud
针对 Google Cloud Vertex AI Python SDK 中存储型 XSS 漏洞(CVE-2026-2472)的概念验证代码,演示如何通过污染模型评估数据在 Jupyter/Colab 环境中实现任意 JavaScript 执行。
Stars: 5 | Forks: 1
# Google Cloud Vertex AI SDK (google-cloud-aiplatform) 1.98.0 至(但不包括)1.131.0 版本中 _genai/_evals_visualization.py 的未认证存储型跨站脚本攻击 (XSS) - (github.com/googleapis/python-aiplatform)
- **作者:Joshua Provoste (N-day 研究员 & 开发者)**
- **致谢:Din Asotić (零日漏洞发现者 & 报告者)**
## 关于 `google-cloud-aiplatform`
`google-cloud-aiplatform` 是 Google Cloud 官方提供的 Python SDK,用于操作 **Vertex AI**。它提供高级抽象来创建、训练、部署和使用 ML 模型(包括 AutoML 和自定义模型),以及管理数据集、端点、流水线和预测。
* https://pypi.org/project/google-cloud-aiplatform/
* https://github.com/googleapis/python-aiplatform
## 概述
`GCP-2026-011`(发布并更新于 2026-02-20)记录了 `CVE-2026-2472`,这是 **Google Cloud Vertex AI Python SDK**(`google-cloud-aiplatform`)`_genai/_evals_visualization.py` 组件中的一个存储型 `XSS` 漏洞,影响 `1.98.0` 至但不包括 `1.131.0` 的版本。在该漏洞中,**未认证的攻击者可以将脚本转义序列注入模型评估结果或数据集 JSON 中,并在受害者的 Jupyter/Colab 环境中实现任意 JavaScript 执行**;Google 指出该问题已通过升级到 `1.131.0` 或更高版本修复(`1.131.0` 于 2025-12-16 发布)。
# 关于 `vertexai/_genai/_evals_visualization.py` 中的 XSS 漏洞
## 摘要
该文件容易受到**存储型 XSS** 攻击,因为它**将攻击者可控的 JSON 直接嵌入到内联 ``)的恶意值**脱离预期的 JavaScript 数据赋值**,并将可执行的 JavaScript 注入到渲染后的 Jupyter/Colab HTML 中。
## 漏洞原因
核心问题在于以下模式:
- `_get_evaluation_html(...)` 将原始 JSON 注入到:
- `const data = {eval_result_json};` **(第 101 行)**
- `_get_comparison_html(...)` 将原始 JSON 注入到:
- `const data = {eval_result_json};` **(第 180 行)**
- `_get_inference_html(...)` 将原始 JSON 注入到:
- `const data = JSON.parse({dataframe_json});` **(第 252 行)**
即使输入使用 `json.dumps(...)` 进行序列化,这也只能使其成为有效的 **JSON**——它**并不**使其在嵌入 HTML ``,浏览器的 HTML 解析器可以终止当前的脚本标签,并将其余部分解析为攻击者控制的 HTML/JS。
### XSS Payload
```
{
"prompt": "",
"rows": []
}
```
## `CVE-2026-2472` 本地 PoC
1. 安装特定的 `google-cloud-aiplatform` 和 `pandas` 漏洞版本
```
pip install google-cloud-aiplatform==1.98.0
pip install pandas
```
2. 执行 `CVE-2026-2472.py` 生成本地 PoC
```
(.venv) L:\>python CVE-2026-2472.py
[+] xss_proof_local.html
```
标签:AI安全, Chat Copilot, CISA项目, CVE-2026-2472, _evals_visualization, GCP-2026-011, google-cloud-aiplatform, Google Cloud Vertex AI, Google Colab, HTML注入, Maven, N-day漏洞, NoSQL, PoC, Python SDK, XSS, 存储型XSS, 密钥泄露防护, 暴力破解, 机器学习安全, 注入漏洞, 漏洞情报, 漏洞验证, 跨站脚本攻击, 逆向工具