Google corrige vulnerabilidad crítica CVSS 10 en Gemini CLI y fallas en Cursor
El gigante tecnológico Google ha corregido una falla de seguridad de máxima severidad en Gemini CLI, el cual podía permitir la ejecución de comandos arbitrarios en sistemas anteriores. Este fallo afectaba al paquete npm llamado “@google/gemini-cli” y al workflow de GitHub Actions “google-github-actions/run-gemini-cli”, que han sido usados para integrar la inteligencia artificial en entornos de desarrollo y automatización.
Expertos han explicado que la falla permitía a un atacante externo, sin privilegios, hacer que su propio contenido malicioso se cargara como configuración legítima de Gemini. Esto provocaba la ejecución de comandos directamente en el host, antes de que el sandbox del agente se iniciara, anulando defensas clave.
Este problema, todavía sin identificación CVE, ha recibido una puntuación CVSS de 10. Esto afecta a los paquetes “@google/gemini-cli” en versiones anteriores a la 0.39.1, versiones anteriores a 0.40.0-preview.3 y al workflow “google-github-actions/run-gemini-cli” anteriores a la versión 0.1.22.
En sus declaraciones, Google ha aclarado que el impacto se concentra en workflows que ejecutan Gemini CLI en modo headless. Indicaron también que cualquier uso de la herramienta en ese modo, sin confianza explícita sobre las carpetas, va a requerir revisión manual para configurar ese mecanismo.
El origen de este riesgo estaba en el comportamiento previo de Gemini CLI en entornos de integración continua. En las versiones antiguas, cuando operaba en modo headless, confiaba automáticamente en las carpetas del Workspace para cargar configuración y variables de entorno. Era bastante cómodo para automatizar, pero peligroso con contenido no confiable.
El gigante tecnológico ha advertido que el escenario era delicado en flujos de CI que revisaban pull requests enviados por usuarios externos. Si Gemini CLI trabajaba sobre un directorio manipulado, podía procesar variables maliciosas ubicadas en “.gemini/”, abriendo la puerta a ataques como ejecuciones remotas de código.
TIC Defense es una empresa que se dedica a proteger otras compañías contra ciberataques perpetrados por hackers maliciosos, entre otras amenazas. Contamos con un amplio catálogo de herramientas, servicios, productos y soluciones de alta tecnología que se adaptan a las necesidades de tu organización.
En la práctica, esa confianza automática permitía cargar cualquier configuración encontrada sin revisión, sin aislamiento previo y sin consentimiento explícito. Un ciberdelincuente podía introducir una configuración diseñada para ejecutar código en el host donde corría el agente. De este modo, una canalización CI/CD podía transformarse en una vía de ataque contra la cadena de suministro.
El gigante tecnológico está reforzando también el control de herramientas permitidas cuando Gemini CLI se ejecuta con el comando “--yolo”. La meta es impedir que entradas no confiables, como problemas enviados por usuarios en GitHub, deriven en ejecución remota de código mediante inyección de prompts.
Este fallo aparecía debido a que el modo de aprobación automática ignoraba las allowlists definidas en “~/.gemini/settings.json” y ejecutaba todas las llamadas a herramientas, incluido el comando “run_shell_command”, sin pedir confirmación.
Con la versión 0.39.1, el motor de políticas de Gemini CLI ya evalúa las listas permitidas incluso bajo el comando “--yolo”. Además, Google afirma que esto ayuda a los flujos de trabajos de CI que autorizan pocos comandos seguros al procesar entradas no confiables. No obstante, ciertos flujos podrían fallar de manera silenciosa si sus allowlists no se ajustan a la tarea.
