Gemini CLI の重大な脆弱性、CIワークフローをコマンドインジェクション攻撃にさらす

GoogleのGemini CLIおよびGitHub Actionのrun-gemini-cliに、最大深刻度の脆弱性が公表されました。この脆弱性により、権限を持たないリモート攻撃者が、エージェントのサンドボックスが初期化される前にホスト上で任意のOSコマンドを実行できます。

CVE-2026-12537として追跡され、CVSS v4スコアで満点の10.0が付与されたこの欠陥は、数千ものCI/CDパイプラインをコマンドインジェクションおよびサプライチェーン侵害の即時リスクにさらしています。

GHSA-wpqr-6v78-jr5gとして識別されたこのセキュリティアドバイザリは、2026年4月24日にGoogleのセキュリティチームによって最初に公開され、その後2026年6月23日に国家脆弱性データベース(NVD)に登録されました。

この脆弱性は、Novee SecurityのElad MegedとPillar SecurityのDan Lisichkinが独自に発見し、いずれもGoogleの脆弱性報奨プログラムを通じて報告しました。

悪用の全体的な攻撃面を構成する根本原因は、2つあります。

ヘッドレスモードにおける自動ワークスペース信頼(CWE-20、CWE-200):パッチ適用前、CI/CDのヘッドレス環境で動作するGemini CLIは、明示的な認可を必要とせず、任意のワークスペースフォルダーを自動的に信頼し、.gemini/ディレクトリ内の.envファイルを含む設定ファイルを読み込んでいました。

悪意を持って細工された.gemini/.envファイルを含むプルリクエストを送信した攻撃者は、コンテナランチャーに環境変数を注入し、サンドボックス起動前にホストレベルのリモートコード実行を達成できます。

--yoloモードにおけるツールアローリストのバイパス(CWE-77、CWE-78):Gemini CLIを--yoloモードで呼び出した場合、~/.gemini/settings.jsonで定義された詳細なツールアローリストが完全に無視されます。

run_shell_command(echo)のような安全なシェルコマンドのみを許可する厳格なアローリストでも回避が可能であり、任意のコマンドを実行できてしまいます。

パブリックなGitHubイシューなどの信頼されていない入力を通じたプロンプトインジェクションとAIエージェントの実行を組み合わせることで、攻撃者はAIエージェントの動作をハイジャックし、CIのシークレット情報を窃取できます。

Pillar Securityは4ステップの攻撃手順を実証しました。攻撃者が隠されたプロンプトインジェクション命令を含むパブリックGitHubイシューを投稿し、Geminiを利用したトリアージエージェントがそれを処理すると、注入されたプロンプトが攻撃者の管理するサーバーへのシークレット情報の外部送信を強制します。

窃取されたトークンによりリポジトリへの完全な書き込みアクセスが可能となり、悪意のあるコードをメインブランチに直接プッシュして、すべてのダウンストリームユーザーへ配布できてしまいます。

Googleは@google/gemini-cli v0.39.1およびv0.40.0-preview.3、run-gemini-cli v0.1.22で修正を公開しました。セキュリティチームは以下のいずれかの対応を直ちに取る必要があります。

ワークフロー内で特定のgemini_cli_versionを固定している組織は、直ちに監査とアップグレードを実施してください。

権限不要・ネットワーク経由・ユーザー操作不要という攻撃ベクターを考慮すると、影響を受けるすべてのCI/CD環境において、この脆弱性には緊急のパッチ対応が最優先で求められます。

翻訳元: https://cyberpress.org/critical-gemini-cli-vulnerability/

ソース: cyberpress.org