Google va corregir una vulnerabilitat de màxima gravetat (CVSS 10.0) en Gemini CLI, tant en el paquet npm @google/gemini-cli com en el flux de treball de GitHub Actions google-github-actions/run-gemini-cli.
La fallada permetia que atacants externs sense privilegis executaren comandos arbitraris en el sistema amfitrió, abans fins i tot que s’iniciara l’entorn controlat de proves de seguretat.
El problema es donava en entorns CI/CD en mode “headless”, en què la ferramenta confiava automàticament en els directoris de treball, fins i tot si contenien codi no de confiança (per exemple, pull requests de tercers).
Versions afectades
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
Mitigació aplicada per Google
- Ara els directoris han de marcar-se explícitament com de confiança abans de carregar configuracions.
- Recomanacions:
- Per a entrades de confiança: definir GEMINI_TRUST_WORKSPACE: ‘true’.
- Per a entrades no de confiança: endurir els fluxos de treball seguint la guia oficial i configurar manualment la confiança.
- Es va reforçar, a més, el control de ferramentes en el mode –yolo, que abans permetia executar ordes sense validació, fins i tot per injecció d’indicacions (prompts).
Fallades d’execució de codi en Cursor IDE
- Es va identificar una vulnerabilitat greu en Cursor IDE (CVE-2026-26268, CVSS 8.1) anterior a la versió 2.5.
- Permetia execució automàtica de codi mitjançant:
- Repositoris Git amb hooks maliciosos
- Instruccions ocultes processades per l’agent d’IA
- Operacions Git executades de manera autònoma per l’agent després d’una petició aparentment innòcua de l’usuari.
Causa arrel
- No és un error clàssic de Cursor, sinó una interacció perillosa entre agents d’IA i funcionalitats de Git que esdevé explotable quan l’agent executa ordes sense visibilitat completa del risc.
Una altra vulnerabilitat greu: “CursorJacking” (CVSS 8.2)
- Es va descobrir un problema addicional de control d’accés:
- Qualsevol extensió instal·lada pot accedir a una base de dades SQLite local.
- Això permet el robatori de claus API, tokens de sessió, segrest de comptes i pèrdues financeres.
- Esta fallada seguix sense posar pedaços.
- Cursor recomana, com a mitigació parcial, instal·lar únicament extensions de confiança, encara que el risc persistix.
- Es va descobrir un problema addicional de control d’accés:
Conclusió
- L’article destaca com els agents d’IA integrats en ferramentes de desenrotllament poden ampliar la superfície d’atac quan es combinen amb automatització, CI/CD i repositoris no de confiança.
- Subratlla la importància de:
- No confiar automàticament en entrades externes
- Revisar acuradament els permisos i fluxos de treball en ferramentes impulsades per IA
- Limitar l’execució automàtica d’ordes en sistemes crítics.
Referències