Fallo crítico en Gemini CLI permite ejecución remota de código

Una vulnerabilidad de máxima gravedad ha sido identificada y corregida en la herramienta Gemini CLI, desarrollada por Google, que podría haber permitido a atacantes ejecutar comandos arbitrarios en sistemas anfitriones.

El fallo, detectado por la firma de ciberseguridad Novee Security, afecta tanto al paquete npm @google/gemini-cli como al flujo de trabajo google-github-actions/run-gemini-cli en GitHub Actions, y ha sido calificado con una puntuación CVSS de 10.0, el nivel más crítico posible.

¿En qué consiste la vulnerabilidad?

La vulnerabilidad permitía a un atacante externo sin privilegios inyectar configuraciones maliciosas dentro del entorno de ejecución de Gemini CLI. Esto desencadenaba la ejecución de comandos directamente en el sistema anfitrión, incluso antes de que se inicializara el sandbox de seguridad.

El problema radicaba en una confianza implícita en directorios de trabajo, especialmente en entornos CI/CD donde el código puede provenir de fuentes no confiables, como pull requests públicos.

CitarSegún Novee Security:

"El fallo permitía forzar la carga de contenido malicioso como configuración Gemini, habilitando ejecución de comandos sin restricciones."

Versiones afectadas

Las siguientes versiones de Gemini CLI estaban expuestas:

• @google/gemini-cli < 0.39.1
• @google/gemini-cli < 0.40.0-preview.3
• google-github-actions/run-gemini-cli < 0.1.22

La ausencia de identificador CVE no reduce su impacto, ya que la puntuación CVSS 10.0 refleja un riesgo crítico en entornos productivos.

Causa raíz: confianza automática en entornos no seguros

En versiones anteriores, Gemini CLI en modo headless (sin interfaz gráfica) confiaba automáticamente en los directorios del workspace para cargar archivos de configuración y variables de entorno.

Esto implicaba que:

• Cualquier archivo en la carpeta .gemini/ podía ser ejecutado
• No existía validación ni consentimiento del usuario
• Se omitía el sandbox de seguridad

Un atacante podía aprovechar este comportamiento colocando archivos maliciosos en repositorios públicos, transformando pipelines CI/CD en vectores de ataque a la cadena de suministro.

Impacto: ejecución remota de código en entornos CI/CD

El impacto principal de esta vulnerabilidad es la posibilidad de Remote Code Execution (RCE) en sistemas que ejecutan flujos automatizados.

Escenarios de riesgo incluyen:

• Revisión automática de pull requests en GitHub
• Pipelines CI/CD que procesan código de terceros
• Automatización de pruebas con IA
• Integración de agentes autónomos

Esto convierte a herramientas como GitHub Actions en posibles puertas de entrada para ataques avanzados.

Solución implementada por Google

Google ha corregido la vulnerabilidad introduciendo un mecanismo de confianza explícita en directorios.

Ahora, los usuarios deben definir manualmente qué entornos son seguros antes de permitir la carga de configuraciones.

Recomendaciones oficiales

1. Para entornos confiables:

GEMINI_TRUST_WORKSPACE=true

2. Para entornos no confiables:

• Revisar configuraciones manualmente
• Limitar ejecución de comandos
• Endurecer pipelines CI/CD

Riesgo adicional: modo "--yolo" y ejecución automática

Otro vector crítico identificado es el uso del modo --yolo en Gemini CLI, que permite ejecutar comandos sin confirmación del usuario.

En versiones anteriores:

• Ignoraba listas de permisos
• Ejecutaba comandos como run_shell_command automáticamente
• Era vulnerable a inyección de prompts maliciosos

La actualización introduce controles más estrictos sobre la lista de herramientas permitidas, reduciendo el riesgo de ejecución no autorizada.

Vulnerabilidad en Cursor IDE: ejecución de código mediante repositorios maliciosos

En paralelo, Novee Security también reveló una vulnerabilidad crítica en Cursor IDE, identificada como CVE-2026-26268 (CVSS 8.1).

¿Cómo funciona el ataque en Cursor?

El exploit aprovecha una interacción entre agentes de IA y el sistema de control de versiones Git.

 Cadena de ataque:

• El usuario clona un repositorio malicioso desde GitHub
• El repositorio contiene un .git anidado con hooks maliciosos
• El usuario abre el proyecto en Cursor IDE
• Solicita una acción inocente (ej. "explicar el código")
• El agente ejecuta git checkout automáticamente
• Se activa el hook malicioso → ejecución de código

Problema estructural: agentes autónomos + Git hooks

• Según Assaf Levkovich:
• "El problema no es un bug directo, sino la interacción entre IA autónoma y funcionalidades legítimas de Git."

Esto demuestra cómo los agentes inteligentes pueden convertirse en vectores de ataque cuando interactúan con sistemas tradicionales sin controles adicionales.

CursorJacking: robo de credenciales y acceso no autorizado

Otra vulnerabilidad crítica, denominada CursorJacking, descubierta por LayerX, permite a extensiones acceder a datos sensibles almacenados localmente.

Impacto:

• Exposición de claves API
• Robo de tokens de sesión
• Acceso no autorizado a servicios backend
• Riesgo financiero

CitarSegún Roy Paz:

"Cursor no aplica controles de acceso entre extensiones y datos sensibles."

Recomendaciones de seguridad

Para mitigar estos riesgos:

• Actualizar Gemini CLI a versiones seguras
• Revisar pipelines CI/CD
• Evitar ejecutar código no confiable
• Instalar solo extensiones verificadas
• Auditar repositorios antes de abrirlos en IDEs con IA

La nueva superficie de ataque en la era de la IA

Estas vulnerabilidades reflejan un cambio crítico en el panorama de ciberseguridad: la integración de IA en herramientas de desarrollo introduce nuevas superficies de ataque.

Tanto Gemini CLI como Cursor IDE evidencian cómo la automatización puede ser explotada si no se implementan controles estrictos.

Las organizaciones deben adaptar sus estrategias de seguridad para proteger entornos CI/CD, pipelines automatizados y herramientas impulsadas por IA.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login