Vulnerabilitat crítica en Google Gemini CLI 

Google va corregir una vulnerabilitat de màxima gravetat (CVSS 10.0) en Gemini CLI, tant en el paquet npm @google/gemini-cli com en el flux de treball de GitHub Actions google-github-actions/run-gemini-cli.

 

La fallada permetia que atacants externs sense privilegis executaren comandos arbitraris en el sistema amfitrió, abans fins i tot que s’iniciara l’entorn controlat de proves de seguretat.

 El problema es donava en entorns CI/CD en mode “headless”, en què la ferramenta confiava automàticament en els directoris de treball, fins i tot si contenien codi no de confiança (per exemple, pull requests de tercers).

Versions afectades

    • @google/gemini-cli < 0.39.1
    • @google/gemini-cli < 0.40.0-preview.3
    • google-github-actions/run-gemini-cli < 0.1.22 

Mitigació aplicada per Google

      • Ara els directoris han de marcar-se explícitament com de confiança abans de carregar configuracions.
      • Recomanacions:
        • Per a entrades de confiança: definir GEMINI_TRUST_WORKSPACE: ‘true’.
        • Per a entrades no de confiança: endurir els fluxos de treball seguint la guia oficial i configurar manualment la confiança.
      • Es va reforçar, a més, el control de ferramentes en el mode –yolo, que abans permetia executar ordes sense validació, fins i tot per injecció d’indicacions (prompts).

Fallades d’execució de codi en Cursor IDE

    • Es va identificar una vulnerabilitat greu en Cursor IDE (CVE-2026-26268, CVSS 8.1) anterior a la versió 2.5. 
    • Permetia execució automàtica de codi mitjançant:
      • Repositoris Git amb hooks maliciosos
      • Instruccions ocultes processades per l’agent d’IA
      • Operacions Git executades de manera autònoma per l’agent després d’una petició aparentment innòcua de l’usuari.

Causa arrel

    • No és un error clàssic de Cursor, sinó una interacció perillosa entre agents d’IA i funcionalitats de Git que esdevé explotable quan l’agent executa ordes sense visibilitat completa del risc.

Una altra vulnerabilitat greu: “CursorJacking” (CVSS 8.2)

    • Es va descobrir un problema addicional de control d’accés:
      • Qualsevol extensió instal·lada pot accedir a una base de dades SQLite local.
      • Això permet el robatori de claus API, tokens de sessió, segrest de comptes i pèrdues financeres. 
    • Esta fallada seguix sense posar pedaços.
    • Cursor recomana, com a mitigació parcial, instal·lar únicament extensions de confiança, encara que el risc persistix. 

Conclusió

    • L’article destaca com els agents d’IA integrats en ferramentes de desenrotllament poden ampliar la superfície d’atac quan es combinen amb automatització, CI/CD i repositoris no de confiança.
    • Subratlla la importància de:
      • No confiar automàticament en entrades externes
      • Revisar acuradament els permisos i fluxos de treball en ferramentes impulsades per IA
      • Limitar l’execució automàtica d’ordes en sistemes crítics. 

Referències