Katalog CVE

CVE-2026-12537

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność w Google Gemini CLI i GitHub Action run-gemini-cli pozwala nieuprzywilejowanemu atakującemu na wykonanie kodu na hoście przed uruchomieniem sandboksowania poprzez złośliwie spreparowany plik .gemini/.env. Problem występuje w wersjach CLI przed 0.39.1 oraz Action przed 0.1.22 na platformach CI bez interaktywnego terminala.

Ocena ryzyka

Atakujący może uzyskać pełną kontrolę nad hostem CI, co prowadzi do kradzieży danych, modyfikacji artefaktów lub dalszego ataku na infrastrukturę organizacji.

Rekomendacja

Należy natychmiast zaktualizować Google Gemini CLI do wersji 0.39.1 lub nowszej oraz run-gemini-cli GitHub Action do wersji 0.1.22 lub nowszej. Dodatkowo zaleca się audyt plików .gemini/.env w repozytoriach.

Oryginalny opis (angielski, źródło NVD)

Improper Neutralization used in an OS Command in the container launcher in Google Gemini CLI (versions prior to 0.39.1) and run-gemini-cli GitHub Action (versions prior to 0.1.22) on headless CI platforms allows an unprivileged attacker to achieve pre-sandbox host-level code execution a maliciously crafted .gemini/.env file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS