CRITICAL🇬🇧 English

CVE-2026-12537

RCE w Google Gemini CLI przez złośliwy plik .gemini/.env

CVSS 10.0v4.0pub. 2026-06-24upd. 2026-07-02

Podatność w module uruchamiania kontenerów w Google Gemini CLI oraz GitHub Action run-gemini-cli umożliwia zdalnemu, nieuprzywilejowanemu atakującemu wykonanie dowolnego kodu na poziomie hosta przed uruchomieniem sandboxa. Ocena CVSS 10.0 oznacza maksymalne ryzyko — podatność nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Improper Neutralization used in an OS Command in the container launcher in Google Gemini CLI (versions prior to 0.39.1) and run-gemini-cli GitHub Action (versions prior to 0.1.22) on headless CI platforms allows an unprivileged attacker to achieve pre-sandbox host-level code execution a maliciously crafted .gemini/.env file.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej neutralizacji danych wejściowych wykorzystywanych w poleceniu systemu operacyjnego (CWE-20 / Improper Input Validation / command injection) w module uruchamiającym kontenery. Atakujący może umieścić złośliwie spreparowany plik .gemini/.env w repozytorium lub projekcie, a jego zawartość zostanie przekazana do polecenia systemowego bez odpowiedniego sanitowania. W efekcie kod zawarty w pliku jest wykonywany na hoście jeszcze przed uruchomieniem mechanizmów izolacji sandboxa, co całkowicie omija zabezpieczenia konteneryzacji na platformach CI działających bez interfejsu graficznego (headless).

Skutki

Atakujący może uzyskać pełne wykonanie kodu (RCE) na poziomie systemu hosta jeszcze przed wejściem w środowisko sandboxa, co może prowadzić do kompromitacji całego środowiska CI/CD, kradzieży sekretów i tokenów oraz dalszego ruchu bocznego (lateral movement) w infrastrukturze.

Mitygacja

Należy niezwłocznie zaktualizować Google Gemini CLI do wersji 0.39.1 lub nowszej oraz GitHub Action run-gemini-cli do wersji 0.1.22 lub nowszej. Dodatkowo zaleca się przegląd zawartości plików .gemini/.env w repozytoriach pod kątem nieautoryzowanych modyfikacji oraz ograniczenie dostępu do pipelines CI dla niezaufanych źródeł kodu.

Kogo dotyczy

Google Gemini CLI w wersjach wcześniejszych niż 0.39.1 oraz GitHub Action run-gemini-cli w wersjach wcześniejszych niż 0.1.22, używane na bezgłowych (headless) platformach CI.

Uwagi

Szczegóły podatności opisano w oficjalnym security advisory opublikowanym przez Google pod adresem: https://github.com/google-github-actions/run-gemini-cli/security/advisories/GHSA-wpqr-6v78-jr5g

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Clear
  • Google Gemini Cli

    APP
    Google
    0.40.0< 0.39.1
  • Google Run Gemini Cli

    APP
    Google
    < 0.1.22
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainerCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-7971CRITICAL9.6⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam vendor

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam vendor

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam vendor

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox