Google Gemini CLI の RCE 脆弱性 CVE-N/A が FIX:サプライチェーン・セキュリティに懸念

Critical Gemini CLI Flaw Raises Supply Chain Security Concerns

2026/04/27 gbhackers — Google が公開したのは、Gemini CLI と関連する GitHub Actions における、深刻な脆弱性へ対処するための緊急のセキュリティ更新である。この脆弱性 GHSA-wpqr-6v78-jr5g (CVSS 10.0) により、CI/CD (Continuous Integration and Continuous Deployment) パイプラインがリモート・コード実行 (RCE) 攻撃の危険にさらされる。この問題は、ワークスペースの信頼設定およびツール許可リスト処理の不備に起因し、自動化ワークフローの侵害を可能とするものである。それにより、サプライチェーン・セキュリティに関する深刻な懸念が引き起こされる。

攻撃ベクターの詳細

この脆弱性は、Gemini CLI 環境における 2 つのバイパスに起因する。GitHub Actions のような非対話型の自動化環境において、これまでの Gemini CLI は、過剰な権限でデータを処理していた。

以下の悪用手法を特定したのは、Novee Security の Elad Meged と Pillar Security の Dan Lisichkin である:

  • ヘッドレス・モードの脆弱性:ワークスペース・ディレクトリが自動的に信頼されるため、未信頼ディレクトリ内の悪意の環境変数を経由した、任意のコード実行の恐れがある。
  • YOLO 実行モードの脆弱性:詳細なツール許可リストが無視されるため、プロンプト・インジェクションを通じてリモート・コード実行 (RCE) が可能になる。
  • 入力検証の不備:不適切な検証が原因となり、特殊文字列が無効化されないため、深刻な OS コマンド・インジェクションの脆弱性が引き起こされる。

この脆弱性は、ソフトウェア・サプライチェーンに対して深刻なリスクをもたらす。具体的には、自動化パイプラインにおいて、ユーザーが提出したプル・リクエストの処理やパブリック GitHub Issue のトリアージが頻繁に実施されるようになる。未信頼のコードに対して、ワークフローが脆弱な Gemini CLI を実行した場合に、悪意のコンフィグ・ファイルが自動的に読み込まれる恐れがある。

この自動信頼の挙動により、攻撃者はビルド・サーバ上で任意のコード実行が可能となる。侵害後に生じる問題として、機密リポジトリのシークレットの窃取/ソースコード改変/組織内部へのラテラル・ムーブメントなどが挙げられる。

ネットワーク経由で深刻なリスクをもたらす、この脆弱性の悪用においては、権限昇格やユーザー操作は必要とされない。

対応策

すでに Google は、パッチをリリースし、Gemini CLI の自動タスク処理方式を根本的に変更している。ヘッドレス・モードは、インタラクティブ・モードと同様の挙動へと変更され、環境変数やコンフィグ処理前に明示的な信頼設定が要求されるようになった。

このツールを使用する組織は、直ちにパイプラインを見直し、以下の対策を実施する必要がある。

  • Gemini CLI の npm パッケージをバージョン 0.39.1/0.40.0-preview.3 へアップグレード。
  • GitHub Actions を、修正済みバージョン 0.1.22 へ更新。
  • 信頼済み内部入力を処理するワークフローに対して、ワークスペース・トラスト環境変数を設定。
  • 未信頼の外部入力を処理するワークフローに対して、厳格なツール・アローリストを適用。
  • 旧バージョンを指定する、既存の GitHub Actions の監査および更新。

訳者後書:この脆弱性の原因は、自動化された環境において、Gemini CLI が過剰な権限を持っていたことにあります。特にヘッドレス・モードでワークスペースが自動的に信頼されてしまう仕組みや、特定の実行モードでツール許可リストが無視される不備に、悪用される仕組みが存在しています。これにより、外部からの入力や悪意の環境変数を介して、本来は許可されていないコマンドが実行されるリスクが生じています。自動化ツールは便利ですが、信頼の設定や入力値の検証が不十分だと、今回のように CI/CD パイプライン全体が危険にさらされる恐れがあります。なお、本件には GHSA-wpqr-6v78-jr5g (CVSS 10.0) という識別子が割り当てられていますが、現在のところ特定の CVE は発行されていません。ご利用のチームは、十分にご注意ください。よろしければ、Google Gemini での検索結果を、ご参照ください。