Vulnerabilidad crítica en Google Gemini CLI

Google corrigió una vulnerabilidad de máxima gravedad (CVSS 10.0) en Gemini CLI, tanto en el paquete npm @google/gemini-cli como en el workflow de GitHub Actions google-github-actions/run-gemini-cli. 

El fallo permitía que atacantes externos sin privilegios ejecutaran comandos arbitrarios en el sistema anfitrión, antes incluso de que se iniciara el sandbox de seguridad. 

El problema se daba en entornos CI/CD en modo «headless», donde la herramienta confiaba automáticamente en los directorios de trabajo, incluso si contenían código no confiable (por ejemplo, pull requests de terceros).

• • @google/gemini-cli < 0.39.1
  • @google/gemini-cli < 0.40.0-preview.3
  • google-github-actions/run-gemini-cli < 0.1.22 

Ahora los directorios deben marcarse explícitamente como confiables antes de cargar configuraciones.

Recomendaciones:

• • Para entradas confiables: definir GEMINI_TRUST_WORKSPACE: ‘true’.
  • Para entradas no confiables: endurecer los workflows siguiendo la guía oficial y configurar manualmente la confianza.
  • Se reforzó además el control de herramientas en el modo –yolo, que antes permitía ejecutar comandos sin validación, incluso por inyección de prompts.

Se identificó una vulnerabilidad grave en Cursor IDE (CVE-2026-26268, CVSS 8.1) anterior a la versión 2.5. 

Permitía ejecución automática de código mediante:

• • Repositorios Git con hooks maliciosos
  • Instrucciones ocultas procesadas por el agente de IA
  • Operaciones Git ejecutadas de forma autónoma por el agente tras una petición aparentemente inocua del usuario.

No es un bug clásico de Cursor, sino una interacción peligrosa entre agentes de IA y funcionalidades de Git que se vuelve explotable cuando el agente ejecuta comandos sin visibilidad completa del riesgo.

Se descubrió un problema adicional de control de acceso:

• • Cualquier extensión instalada puede acceder a una base de datos SQLite local.
  • Esto permite robo de claves API, tokens de sesión, secuestro de cuentas y pérdidas financieras. 
  • Este fallo sigue sin parchear.
  • Cursor recomienda, como mitigación parcial, instalar únicamente extensiones confiables, aunque el riesgo persiste. 

El artículo destaca cómo los agentes de IA integrados en herramientas de desarrollo pueden ampliar la superficie de ataque cuando se combinan con automatización, CI/CD y repositorios no confiables.

Subraya la importancia de:

• • • No confiar automáticamente en entradas externas
    • Revisar cuidadosamente los permisos y flujos de trabajo en herramientas impulsadas por IA
    • Limitar la ejecución automática de comandos en sistemas críticos. 

Referencias

• • • https://novee.security/blog/google-gemini-cli-rce-vulnerability-cvss-10-critical-security-advisory
    • https://thehackernews.com/2026/04/google-fixes-cvss-10-gemini-cli-ci-rce.html
    • https://www.securityweek.com/critical-gemini-cli-flaw-enabled-host-code-execution-supply-chain-attacks
    • https://www.theregister.com/2026/04/30/googles_fix_for_critical_gemini