🔥 この記事の詳細
2026-04-30 更新
B
今週中

GoogleのGemini CLIにおいて、CVSS 10.0の深刻なリモートコード実行(RCE)の脆弱性が修正されました

脆弱性🌐 英語ソース
📅 2026-04-30📰 theregister
📌 一言でいうと
GoogleのGemini CLIにおいて、CVSS 10.0の深刻なリモートコード実行(RCE)の脆弱性が修正されました。この問題は、ヘッドレスモードでのワークスペース信頼設定が不適切であり、設定ファイルや環境変数を自動的に信頼して読み込むことに起因します。特にGitHub ActionsなどのCI/CDパイプラインで利用している場合にリスクが高く、アップデートによるワークフローの動作変更に注意が必要です。
🏢影響範囲
Gemini CLIおよびrun-gemini-cli GitHub Actionを利用してCI/CDパイプラインやAIエージェントを運用している開発者および組織。
該当時の対応
Gemini CLIおよびrun-gemini-cli GitHub Actionを最新バージョンにアップデートし、アップデート後にCI/CDパイプラインが正常に動作するか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Google Gemini CLI の深刻な脆弱性(CVSS 10.0)対応について

お疲れさまです。Gemini CLIに関する脆弱性情報について共有いたします。

■ 概要
Gemini CLIのヘッドレスモードにおいて、ワークスペースの信頼設定が不適切であるため、任意のコードが実行される可能性がある脆弱性が発見されました。CVSSスコアは10.0と極めて高く、設定ファイルや環境変数の読み込みプロセスが悪用されます。

■ 影響範囲
- Gemini CLI (特にヘッドレスモード利用時)
- run-gemini-cli GitHub Action

■ 対応手順
1. Gemini CLI および run-gemini-cli GitHub Action を最新バージョンにアップデートしてください。
2. アップデート後、CI/CDパイプライン(GitHub Actions等)のワークフローが正常に動作するか検証してください(信頼設定の変更により動作に影響が出る可能性があります)。

■ 参考情報
- Google公式GitHubアドバイザリ

対応優先度: 高
対応期限: 直ちに実施
Subject: [Security Alert] Critical Vulnerability in Google Gemini CLI (CVSS 10.0)

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability discovered in the Google Gemini CLI.

■ Overview
A critical Remote Code Execution (RCE) vulnerability with a CVSS score of 10.0 has been identified in the headless mode of Gemini CLI. The issue is caused by over-permissive workspace trust settings, allowing the tool to automatically trust and load configuration files and environment variables from the active workspace.

■ Scope
- Gemini CLI (specifically when used in headless mode)
- run-gemini-cli GitHub Action

■ Mitigation Steps
1. Update Gemini CLI and the run-gemini-cli GitHub Action to the latest version immediately.
2. Review and test your CI/CD pipelines (e.g., GitHub Actions) to ensure that the update has not broken existing workflows due to changes in trust settings.

■ Reference
- Google Official GitHub Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-30 のまとめ🔍 記事を検索