GCP - Orgpolicy Privesc
orgpolicy
orgpolicy.policy.set
orgpolicy.policy.set
Un attaquant exploitant orgpolicy.policy.set peut manipuler les politiques organisationnelles, ce qui lui permettra de supprimer certaines restrictions entravant des opérations spécifiques. Par exemple, la contrainte appengine.disableCodeDownload bloque généralement le téléchargement du code source de App Engine. Cependant, en utilisant orgpolicy.policy.set, un attaquant peut désactiver cette contrainte, lui permettant ainsi d'accéder au téléchargement du code source, malgré sa protection initiale.
Dernière mise à jour