security

CVE-2026-27465: La brecha en Fleet que expone claves privadas de Google Calendar

David

2 min read

Vulnerabilidad crítica por serialización implícita en Go

El ecosistema de gestión de dispositivos Fleet (fleetdm) se enfrenta a una vulnerabilidad de seguridad de nivel medio, identificada como CVE-2026-27465, que pone de manifiesto un riesgo común pero a menudo ignorado en el desarrollo con Go: los peligros de la serialización implícita de estructuras de datos que contienen información sensible.

La falla permitía que usuarios autenticados con privilegios mínimos, como el rol de 'Observer', pudieran recuperar credenciales completas y sin enmascarar de cuentas de servicio de Google a través de la API de configuración global. Estas credenciales, utilizadas para la integración con Google Calendar, otorgan la capacidad de suplantar la cuenta de servicio dentro de la infraestructura de Google Cloud, abriendo la puerta a movimientos laterales y acceso no autorizado a datos organizativos.

Análisis técnico: El fallo en el MarshalJSON

El origen del problema reside en cómo Fleet manejaba la configuración de la integración con Google Calendar. Al realizar una petición GET /api/v1/fleet/config, el backend devolvía el objeto de configuración completo. Si este objeto no implementa una lógica personalizada de serialización para campos sensibles, Go simplemente serializa todos los campos exportados al formato JSON solicitado.

La solución aplicada en la versión 4.80.1 introduce un método MarshalJSON personalizado para el tipo GoogleCalendarApiKey, asegurando que si el campo está marcado como sensible, se devuelva una cadena enmascarada en lugar de la clave privada real:

func (k GoogleCalendarApiKey) MarshalJSON() ([]byte, error) { 
    if k.masked { 
        return json.Marshal("********") 
    } 
    // ... lógica para serialización normal
}

¿Por qué importa para desarrolladores?

Este caso es una lección magistral sobre la gestión de secretos en aplicaciones modernas. Para los desarrolladores que trabajan con Go, subraya la importancia de auditar qué datos se exponen en las APIs públicas de configuración. Tratar la configuración como un 'cajón de sastre' donde se arroja todo lo necesario para el runtime es una práctica arriesgada si no existe una capa de filtrado estricta antes de la salida al cliente.

Desde una perspectiva de arquitectura, el error demuestra que el principio de menor privilegio no solo debe aplicarse a las cuentas de usuario, sino también a la visibilidad de los datos de sistema. Si tu aplicación utiliza stacks basados en microservicios o APIs REST, es vital implementar validaciones que impidan la fuga de secretos (secret leakage) por mera negligencia en la definición de las estructuras de respuesta.

Si eres administrador de Fleet, la recomendación es actualizar a la versión 4.80.1 de inmediato, rotar las claves de las cuentas de servicio afectadas en Google Cloud Console y revocar las versiones anteriores para mitigar cualquier compromiso previo.

Mitigación y pasos a seguir

  • Actualizar Fleet Server a la versión 4.80.1 o superior.
  • Generar nuevos JSON keys en Google Cloud para las cuentas de servicio vinculadas.
  • Eliminar las claves antiguas para invalidar cualquier token filtrado.
  • Revisar los roles IAM en Google Cloud para limitar el alcance de las cuentas de servicio al mínimo necesario.

Fuente original: DEV Community

Read more