B
今週中
Google CloudのAPI管理プラットフォーム「Apigee」において、SSRF脆弱性(CVE-2026-2264)
📌 一言でいうと
Google CloudのAPI管理プラットフォーム「Apigee」において、SSRF脆弱性(CVE-2026-2264)が発見されました。この脆弱性は「SetIntegrationRequest」ポリシーの検証不足に起因し、攻撃者がサービスアカウントのアクセストークンを窃取できる可能性があります。Apigeeハイブリッド版を利用している場合は、指定の修正バージョンへの更新が必要です。Google Cloud版については既に修正が適用されています。
🔍該当判定
- Google CloudのAPI管理プラットフォーム「Apigee」を利用している
- 自社で「Apigeeハイブリッド」を運用している
- Apigeeハイブリッドのバージョンが「1.16.1」「1.15.2」「1.14.4」より古い
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Apigeeハイブリッドを利用している場合は、バージョン 1.16.1、1.15.2、または 1.14.4 へ速やかにアップデートしてください。Google Cloud版利用者は対応不要です。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Google Cloud Apigee SSRF脆弱性 (CVE-2026-2264) 対応について
お疲れさまです。Google Cloud Apigeeの脆弱性に関する情報共有です。
■ 概要
Apigeeの「SetIntegrationRequest」ポリシーにおける検証不足により、SSRF(サーバサイドリクエストフォージェリ)が発生し、サービスアカウントのアクセストークンが漏洩する恐れがあります。CVSSv4.0ベーススコアは9.2と非常に高い値となっています。
■ 影響範囲
- Apigee ハイブリッド: バージョン 1.16.1, 1.15.2, 1.14.4 未満
- Google Cloud版 Apigee: 修正済み(対応不要)
■ 対応手順
1. 自社で Apigee ハイブリッド を利用しているか確認してください。
2. 利用している場合、以下の修正バージョンへアップデートを適用してください。
- 1.16.1 / 1.15.2 / 1.14.4
■ 参考情報
- Google Cloud 公式アドバイザリ
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Google Cloud Apigeeの脆弱性に関する情報共有です。
■ 概要
Apigeeの「SetIntegrationRequest」ポリシーにおける検証不足により、SSRF(サーバサイドリクエストフォージェリ)が発生し、サービスアカウントのアクセストークンが漏洩する恐れがあります。CVSSv4.0ベーススコアは9.2と非常に高い値となっています。
■ 影響範囲
- Apigee ハイブリッド: バージョン 1.16.1, 1.15.2, 1.14.4 未満
- Google Cloud版 Apigee: 修正済み(対応不要)
■ 対応手順
1. 自社で Apigee ハイブリッド を利用しているか確認してください。
2. 利用している場合、以下の修正バージョンへアップデートを適用してください。
- 1.16.1 / 1.15.2 / 1.14.4
■ 参考情報
- Google Cloud 公式アドバイザリ
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Google Cloud Apigee SSRF Vulnerability (CVE-2026-2264)
Dear Team,
We are sharing information regarding a vulnerability found in Google Cloud Apigee.
■ Overview
An SSRF vulnerability (CVE-2026-2264) exists in the 'SetIntegrationRequest' policy due to insufficient validation of the 'IntegrationRegion' parameter. This could allow an attacker to steal service account access tokens. The CVSS v4.0 base score is 9.2.
■ Scope
- Apigee Hybrid: Versions prior to 1.16.1, 1.15.2, or 1.14.4
- Apigee (Google Cloud version): Already patched (no action required)
■ Action Required
1. Verify if Apigee Hybrid is deployed in our environment.
2. If applicable, update to the following versions immediately:
- 1.16.1, 1.15.2, or 1.14.4
■ Reference
- Google Cloud Official Advisory
Priority: High
Deadline: Immediate
Dear Team,
We are sharing information regarding a vulnerability found in Google Cloud Apigee.
■ Overview
An SSRF vulnerability (CVE-2026-2264) exists in the 'SetIntegrationRequest' policy due to insufficient validation of the 'IntegrationRegion' parameter. This could allow an attacker to steal service account access tokens. The CVSS v4.0 base score is 9.2.
■ Scope
- Apigee Hybrid: Versions prior to 1.16.1, 1.15.2, or 1.14.4
- Apigee (Google Cloud version): Already patched (no action required)
■ Action Required
1. Verify if Apigee Hybrid is deployed in our environment.
2. If applicable, update to the following versions immediately:
- 1.16.1, 1.15.2, or 1.14.4
■ Reference
- Google Cloud Official Advisory
Priority: High
Deadline: Immediate