Google Gemini CLIの重大な脆弱性、ヘッドレスCIプラットフォームで攻撃者によるコード実行を可能に

GoogleのGemini CLIおよび関連するrun-gemini-cli GitHub Actionに重大な脆弱性が確認されました。この欠陥により、信頼できないワークスペースを処理する際に、ヘッドレス型継続的インテグレーション(CI)プラットフォームがホストレベルのコード実行攻撃にさらされる可能性があります。 Google Gemini への攻撃手法として悪用される恐れがあります。

この脆弱性はCVE-2026-12537として追跡されており、アドバイザリではGHSA-wpqr-6v78-jr5gとして識別されています。CVSS v4で最大深刻度と評価されており、コンテナランチャーにおけるOSコマンドの不適切な処理と、GitHub ActionsなどのノンインタラクティブEnvironmentにおけるワークスペース設定およびツール実行に関する安全でない前提が原因となっています。

Google Gemini CLIの重大な脆弱性

Googleのセキュリティアドバイザリによると、@google/gemini-cliの旧バージョンはヘッドレスモードでワークスペースフォルダを自動的に信頼していました。これにより、ローカルの.geminiディレクトリにある設定ファイルや環境変数が、ユーザーの明示的な同意なしに読み込まれていました。

ユーザーが提出したプルリクエストや信頼できないリポジトリコンテンツをレビューするCIワークフローでは、この動作によって悪意ある.gemini/.envファイルが正規の設定として解釈され、サンドボックス保護が適用される前に基盤となるホスト上でリモートコード実行が可能になっていました。

国家脆弱性データベース(NVD)に掲載されたCVE-2026-12537の説明によると、権限のない攻撃者が、バージョン0.39.1より前のGemini CLIコンテナランチャーおよびバージョン0.1.22より前のrun-gemini-cliに存在するOSコマンドインジェクションを悪用することで、ヘッドレスCIプラットフォーム上でサンドボックス適用前のホストレベルのコード実行を達成できることが確認されています。

脆弱性管理プラットフォーム

この脆弱性は、Gemini CLIが以前の–yoloモードでツールの許可リストを処理する際に、~/.gemini/settings.jsonで定義された細かいツール制限を無視していたことによって、さらに深刻化していました。

信頼できない入力を処理する際にrun_shell_commandを許可するワークフローでは、攻撃者がプロンプトレベルの操作と誤設定された許可リストを悪用して任意のコマンドを実行でき、AIを活用したCIパイプラインがサプライチェーン攻撃のベクターへと変わってしまう恐れがありました。

この問題は、不適切な入力検証(CWE-20)、コマンドインジェクション(CWE-77)、OSコマンドインジェクション(CWE-78)、機密情報の露出(CWE-200)など、複数の共通脆弱性タイプ一覧(CWE)カテゴリに関連しています。これらは、環境データの安全でない解析と、侵害されたCIホストからの横移動およびデータ窃取の可能性を反映しています。

Googleはヘッドレスの動作をインタラクティブモードに合わせるためのセキュリティ強化アップデートをリリースしており、.envなどの設定ファイルが処理される前に、フォルダへの明示的な信頼付与が必要になりました。

パッチ適用済みバージョンは@google/gemini-cli 0.39.1および0.40.0-preview.3、ならびにgoogle-github-actions/run-gemini-cli 0.1.22で、それ以前のすべてのActionワークフローが暗黙的に影響を受けています。

信頼できる入力に対しては、ワークフローにGEMINI_TRUST_WORKSPACE: ‘true’を設定することをGoogleは推奨しています。信頼できないコンテンツを扱うユーザーは、run-gemini-cliリポジトリのセキュリティ強化ガイダンスに従い、–yoloモードでも適用される厳格なツール許可リストを設定するよう求められています。

GoogleのVulnerability Rewards Programで功績が認められたNovee SecurityおよびPillar Securityのセキュリティ研究者は、Gemini CLIを使用するCI/CD環境はこの問題をCIサプライチェーンリスクとして捉え、安全でない信頼前提や古いバージョンのGemini CLIがないかパイプラインを直ちに監査するよう勧告しています。

翻訳元: https://gbhackers.com/critical-google-gemini-cli-flaw/

ソース: gbhackers.com