Plataforma
other
Componente
dialogflow-cx
Corregido en
2025-02
Se ha identificado una vulnerabilidad de escalada de privilegios en Google Cloud Dialogflow CX. Los desarrolladores de agentes que poseen el permiso de editor de Webhooks pueden configurar Webhooks utilizando el token de autenticación del agente de servicio de Dialogflow. Esto permite a un atacante escalar sus privilegios de nivel de agente a nivel de proyecto, obteniendo acceso no autorizado a la gestión de recursos asociados al proyecto productor.
Esta vulnerabilidad permite a un atacante con permisos de editor de Webhooks en Dialogflow CX escalar sus privilegios a nivel de proyecto. Esto significa que pueden acceder y modificar recursos en el proyecto, incluso aquellos que no están directamente relacionados con el agente que están desarrollando. El impacto principal es el potencial para un consumo inesperado de recursos y costos elevados, ya que el atacante podría, por ejemplo, iniciar procesos costosos o acceder a datos sensibles. La falta de autenticación adecuada en la configuración de Webhooks es la causa raíz de este problema, similar a vulnerabilidades de acceso no autorizado en otras plataformas de nube.
Esta vulnerabilidad fue publicada el 10 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad no figura en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de acceso previo a Dialogflow CX y a la corrección ya aplicada.
Organizations utilizing Google Cloud's Dialogflow CX with agent developers granted Webhook editor permissions are at risk. Specifically, projects with overly permissive IAM roles or those lacking robust monitoring and auditing practices are more vulnerable. Shared hosting environments utilizing Dialogflow CX could also be affected if multiple tenants share the same project and one tenant compromises an agent's Webhook configuration.
patch
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
La solución principal es actualizar Dialogflow CX a la versión corregida, disponible a partir de febrero de 2025. Google aplicó una corrección del lado del servidor para mitigar esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente todas las configuraciones de Webhooks para asegurarse de que no estén utilizando el token de autenticación del agente de servicio de Dialogflow. Implementar controles de acceso más estrictos a los permisos de editor de Webhooks también puede ayudar a reducir el riesgo.
Google aplicó una solución en el lado del servidor en febrero de 2025. No se requiere ninguna acción por parte del cliente. Manténgase informado sobre las actualizaciones de seguridad de Google Cloud.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12952 is a vulnerability in Google Cloud Dialogflow CX allowing developers to escalate privileges, potentially leading to project-level access and resource depletion.
If you use Dialogflow CX and have developers with Webhook editor permissions, you may be affected. However, a server-side fix was applied in February 2025.
The vulnerability has been fixed on the server side. No customer action is required, but review Webhook configurations and IAM roles for best practices.
As of December 10, 2025, there is no indication of active exploitation or public proof-of-concept.
Refer to the Google Cloud Security Bulletin for details: [https://cloud.google.com/security/bulletin](https://cloud.google.com/security/bulletin)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.