HackerNews 编译，转载请注明出处： 安全研究人员发现并调查了谷歌云平台（GCP）Cloud Functions与Cloud Build服务中潜在的权限升级漏洞。该漏洞最初由Tenable研究团队披露，攻击者可利用GCP云函数的部署流程获取高权限。谷歌随后发布补丁，限制默认Cloud Build服务账户的过度权限。 思科Talos团队在Tenable研究基础上，复现攻击手法并测试其对多云平台的影响。研究人员在GCP部署含恶意package.json文件的Debian服务器（集成NPM与Ngrok），通过提取令牌模拟攻击，确认谷歌补丁已修复原始提权路径。但实验表明，即使无特权访问，...