Google Gemini CLIで最高重大度のRCE脆弱性が発見

セキュリティ研究者は、ツールが信頼できない入力を処理する環境でリモートコード実行（RCE）を許可する可能性がある、Google Gemini CLIの最高重大度の脆弱性について警告しています。

この問題はNovee Securityの研究者によって開示され、@google/gemini-cliパッケージとそれに関連するGitHub Actionに影響を与えており、CI/CDワークフローで広く使用されています。

「Gemini CLI（@google/gemini-cli）およびrun-gemini-cli GitHub Actionは、特にGitHub Actionsなどの信頼できない環境で使用される場合、ワークスペーストラストとツール許可リストを強化するために更新されています」と、脆弱性について発行されたGitHubのアドバイザリに記載されています。

ワークスペース構成への過度な信頼

問題はCLIが自動化された非対話的環境でワークスペーストラストとコマンド実行をどのように処理するかにありました。「影響を受けたバージョンでは、CI環境で実行されているGemini CLIは、構成と環境変数を読み込むために自動的にワークスペースフォルダを信頼していた」と、アドバイザリは述べています。

これは攻撃者が信頼されたワークスペースに独自の悪意のある構成を注入することで、容易に悪用される可能性がありました。

「この脆弱性により、権限のない外部の攻撃者がGemini構成として独自の悪意のあるコンテンツを強制的にロードすることができました」とNoveeの研究者Elad Megedはブログ投稿で述べています。「これはエージェントのサンドボックスが初期化される前にセキュリティをバイパスして、ホストシステム上でコマンド実行をトリガーしました。」

この欠陥の影響は、対話型インターフェースなしでヘッドレスモードでGemini CLIを使用するワークフローに限定されていました。

CVE IDはまだこの欠陥に割り当てられていませんが、MegedはGoogleがCVSSスケールの最大値である10.0の重大度評価を行ったと述べています。最高の重大度評価は、悪用に低い複雑性、最小限の権限、およびほぼユーザーインタラクションが不要であることが理由と考えられます。

Googleはすぐにコメント要求に応答しませんでした。

ただし、この欠陥はCWE-20、CWE-77、CWE-78、およびCWE-200に分類されており、これらはおおよそ不適切な入力検証、コマンドインジェクション、および情報開示の弱点を指しています。

動作は現在修正されました

Googleはヘッドレス環境で暗黙のワークスペーストラストを削除し、より厳密なツール制御を実施することで問題に対応しており、Gemini CLIがCI/CDパイプラインでどのように動作するかを効果的に変更しています。

パッチされたバージョン（0.39.1および0.40.0-preview.3）は、ワークスペース構成を読み込む前に明示的な信頼決定を必要とするようになり、非対話型実行を対話型使用で期待される同じセーフガードと一致させています。

さらに、修正はツール許可リストが実際に強制されることを確認して「–yolo」モードの重大なギャップを閉じ、緩くスコープされた権限が無制限のコマンド実行に変わるのを防いでいます。

以前は、許可リストをバイパスでき、CLIが意図された制限外でコマンドを実行できるようにしていました。

Googleはより広いエコシステムの変更ももたらしています。run-gemini-cli GitHub Action（v0.1.22でパッチ）は、CLIの最新バージョンを自動的にプルして実行するようになりました。特定のgemini-cliバージョンをピンしているワークフローは、パッチされたリリースにアップグレードし、既存のGemini CLI構成を確認して、安全でないデフォルトに依存しないようにすることをお勧めします。