B
今週中
GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0の深刻な脆弱性が修正されました
📌 一言でいうと
GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0の深刻な脆弱性が修正されました。この脆弱性は、攻撃者が悪意のあるコンテンツをGeminiの設定として読み込ませることで、ホストシステム上で任意のコマンドを実行できるRCE(リモートコード実行)を可能にするものです。影響を受けるバージョンは @google/gemini-cli 0.39.1未満および 0.40.0-preview.3未満、google-github-actions/run-gemini-cli 0.1.22未満です。
🏢影響範囲
Gemini CLIまたは関連するGitHub Actionsワークフローを利用してCI/CDパイプラインを構築している開発者および組織
✅該当時の対応
影響を受けるパッケージ(@google/gemini-cli および google-github-actions/run-gemini-cli)を最新バージョンにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】Google Gemini CLIにおけるリモートコード実行(RCE)の脆弱性について
お疲れさまです。Gemini CLIに関する深刻な脆弱性の情報共有です。
■ 概要
GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0(最大深刻度)の脆弱性が報告されました。攻撃者が悪意のあるコンテンツをGeminiの設定として読み込ませることで、ホストシステム上で任意のコマンドを実行(RCE)される恐れがあります。
■ 影響範囲
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
※特にヘッドレスモードで利用しているワークフローに影響します。
■ 対応手順
1. 利用中のプロジェクトにおいて、上記パッケージのバージョンを確認してください。
2. 影響を受けるバージョンを使用している場合は、速やかに最新バージョンへアップデートしてください。
■ 参考情報
- Novee Security Report / Google Advisory
対応優先度: 高(至急のアップデートを推奨します)
お疲れさまです。Gemini CLIに関する深刻な脆弱性の情報共有です。
■ 概要
GoogleのGemini CLIおよび関連するGitHub Actionsワークフローにおいて、CVSS 10.0(最大深刻度)の脆弱性が報告されました。攻撃者が悪意のあるコンテンツをGeminiの設定として読み込ませることで、ホストシステム上で任意のコマンドを実行(RCE)される恐れがあります。
■ 影響範囲
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
※特にヘッドレスモードで利用しているワークフローに影響します。
■ 対応手順
1. 利用中のプロジェクトにおいて、上記パッケージのバージョンを確認してください。
2. 影響を受けるバージョンを使用している場合は、速やかに最新バージョンへアップデートしてください。
■ 参考情報
- Novee Security Report / Google Advisory
対応優先度: 高(至急のアップデートを推奨します)
Subject: [Action Required] Critical RCE Vulnerability in Google Gemini CLI
Hi all,
This is a security advisory regarding a critical vulnerability found in the Google Gemini CLI and associated GitHub Actions workflows.
■ Overview
A maximum severity vulnerability (CVSS 10.0) has been identified that allows an unprivileged external attacker to force malicious content to load as Gemini configuration. This can lead to arbitrary command execution (RCE) on the host system, bypassing the agent's sandbox.
■ Affected Versions
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
Note: Impact is primarily limited to workflows using Gemini CLI in headless mode.
■ Remediation
1. Audit your CI/CD pipelines and projects for the affected package versions.
2. Update the packages to the latest secure versions promptly.
■ Reference
- Novee Security Report / Google Advisory
Priority: High (Prompt update is strongly recommended)
Hi all,
This is a security advisory regarding a critical vulnerability found in the Google Gemini CLI and associated GitHub Actions workflows.
■ Overview
A maximum severity vulnerability (CVSS 10.0) has been identified that allows an unprivileged external attacker to force malicious content to load as Gemini configuration. This can lead to arbitrary command execution (RCE) on the host system, bypassing the agent's sandbox.
■ Affected Versions
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
Note: Impact is primarily limited to workflows using Gemini CLI in headless mode.
■ Remediation
1. Audit your CI/CD pipelines and projects for the affected package versions.
2. Update the packages to the latest secure versions promptly.
■ Reference
- Novee Security Report / Google Advisory
Priority: High (Prompt update is strongly recommended)