CVE-2026-12537
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w Google Gemini CLI i GitHub Action run-gemini-cli pozwala nieuprzywilejowanemu atakującemu na wykonanie kodu na hoście przed uruchomieniem sandboksowania poprzez złośliwie spreparowany plik .gemini/.env. Problem występuje w wersjach CLI przed 0.39.1 oraz Action przed 0.1.22 na platformach CI bez interaktywnego terminala.
Ocena ryzyka
Atakujący może uzyskać pełną kontrolę nad hostem CI, co prowadzi do kradzieży danych, modyfikacji artefaktów lub dalszego ataku na infrastrukturę organizacji.
Rekomendacja
Należy natychmiast zaktualizować Google Gemini CLI do wersji 0.39.1 lub nowszej oraz run-gemini-cli GitHub Action do wersji 0.1.22 lub nowszej. Dodatkowo zaleca się audyt plików .gemini/.env w repozytoriach.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization used in an OS Command in the container launcher in Google Gemini CLI (versions prior to 0.39.1) and run-gemini-cli GitHub Action (versions prior to 0.1.22) on headless CI platforms allows an unprivileged attacker to achieve pre-sandbox host-level code execution a maliciously crafted .gemini/.env file.

