C
月内に
GoogleのGemini CLIおよび関連するGitHub Actionに、リモートコード実行(RCE)が可能な高危深刻な脆弱性
📌 一言でいうと
GoogleのGemini CLIおよび関連するGitHub Actionに、リモートコード実行(RCE)が可能な高危深刻な脆弱性が発見されました。この脆弱性は、ヘッドレスモードにおける不適切なワークスペース信頼処理と、--yoloモードでのツールホワイトリスト回避に起因します。特にCI/CDパイプラインなどの自動化環境で、外部からのプルリクエストなどを処理する場合にリスクが高まります。Googleは修正版をリリースしており、速やかなアップデートを推奨しています。
🏢影響範囲
Gemini CLI (@google/gemini-cli) および run-gemini-cli GitHub Action を利用してCI/CDパイプラインを構築している開発者および組織。
✅該当時の対応
1. @google/gemini-cli を最新バージョンにアップデートしてください。
2. run-gemini-cli GitHub Action を最新バージョンに更新してください。
3. ヘッドレスモードで動作させる場合、GEMINI_TRUST_WORKSPACE: 'true' の設定が必要になるため、設定を見直してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Gemini CLI および run-gemini-cli のRCE脆弱性対応について
お疲れさまです。Gemini CLIに関する脆弱性情報について共有いたします。
■ 概要
Gemini CLIおよび関連するGitHub Actionにおいて、リモートコード実行(RCE)が可能な脆弱性が報告されました。ヘッドレスモードでの不適切なフォルダ信頼メカニズムおよび--yoloモード時のホワイトリスト回避により、攻撃者が悪意のあるコードを実行させる可能性があります。
■ 影響範囲
- npmパッケージ: @google/gemini-cli (旧バージョン)
- GitHub Action: google-github-actions/run-gemini-cli (旧バージョン)
- 特にCI/CDパイプライン等の非対話型環境で利用している場合
■ 対応手順
1. @google/gemini-cli を最新バージョンへアップデートする
2. run-gemini-cli GitHub Action を最新バージョンへ更新する
3. 信頼できる入力のみを扱うワークフローにおいて、必要に応じて GEMINI_TRUST_WORKSPACE: 'true' を明示的に設定する
■ 参考情報
- Google公式セキュリティアドバイザリ
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Gemini CLIに関する脆弱性情報について共有いたします。
■ 概要
Gemini CLIおよび関連するGitHub Actionにおいて、リモートコード実行(RCE)が可能な脆弱性が報告されました。ヘッドレスモードでの不適切なフォルダ信頼メカニズムおよび--yoloモード時のホワイトリスト回避により、攻撃者が悪意のあるコードを実行させる可能性があります。
■ 影響範囲
- npmパッケージ: @google/gemini-cli (旧バージョン)
- GitHub Action: google-github-actions/run-gemini-cli (旧バージョン)
- 特にCI/CDパイプライン等の非対話型環境で利用している場合
■ 対応手順
1. @google/gemini-cli を最新バージョンへアップデートする
2. run-gemini-cli GitHub Action を最新バージョンへ更新する
3. 信頼できる入力のみを扱うワークフローにおいて、必要に応じて GEMINI_TRUST_WORKSPACE: 'true' を明示的に設定する
■ 参考情報
- Google公式セキュリティアドバイザリ
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] RCE Vulnerability in Gemini CLI and run-gemini-cli
Dear Team,
We are sharing critical information regarding a vulnerability found in the Gemini CLI.
■ Overview
A high-severity vulnerability allowing Remote Code Execution (RCE) has been identified in the Gemini CLI and the run-gemini-cli GitHub Action. The issue is caused by insecure workspace trust handling in headless mode and a whitelist bypass in --yolo mode, potentially allowing attackers to execute arbitrary commands via untrusted inputs (e.g., malicious PRs).
■ Scope
- npm package: @google/gemini-cli (older versions)
- GitHub Action: google-github-actions/run-gemini-cli (older versions)
- Specifically impacts headless environments such as CI/CD pipelines.
■ Remediation Steps
1. Update @google/gemini-cli to the latest version.
2. Update the run-gemini-cli GitHub Action to the latest version.
3. Review workspace trust settings; explicitly set GEMINI_TRUST_WORKSPACE: 'true' only for trusted inputs.
■ Reference
- Google Official Security Advisory
Priority: High
Deadline: Immediate
Dear Team,
We are sharing critical information regarding a vulnerability found in the Gemini CLI.
■ Overview
A high-severity vulnerability allowing Remote Code Execution (RCE) has been identified in the Gemini CLI and the run-gemini-cli GitHub Action. The issue is caused by insecure workspace trust handling in headless mode and a whitelist bypass in --yolo mode, potentially allowing attackers to execute arbitrary commands via untrusted inputs (e.g., malicious PRs).
■ Scope
- npm package: @google/gemini-cli (older versions)
- GitHub Action: google-github-actions/run-gemini-cli (older versions)
- Specifically impacts headless environments such as CI/CD pipelines.
■ Remediation Steps
1. Update @google/gemini-cli to the latest version.
2. Update the run-gemini-cli GitHub Action to the latest version.
3. Review workspace trust settings; explicitly set GEMINI_TRUST_WORKSPACE: 'true' only for trusted inputs.
■ Reference
- Google Official Security Advisory
Priority: High
Deadline: Immediate