Gemini CLI の脆弱性 CVE-2026-12537 が FIX:任意のコード実行の恐れ

Critical Gemini CLI Vulnerability Lets Attackers Execute Arbitrary Code

2026/06/29 CyberSecurityNews — Google の Gemini CLI に存在する、深刻なセキュリティ脆弱性 CVE-2026-12537 が開示された。この脆弱性を悪用する攻撃者は、特定の CI/CD 環境において、特に GitHub Actions のワークフローにおいて、任意のコード実行を引き起こす機会を得る。この脆弱性が影響を及ぼす範囲は、複数のバージョンの Gemini CLI および関連する GitHub Action である。

この脆弱性が存在するのは、@google/gemini-cli のバージョン 0.39.1/0.40.0-preview.3 未満と、google-github-actions/run-gemini-cli のバージョン 0.1.22 未満である。ワークスペースの信頼性に関する不具合とツール実行ポリシーの不適切な処理により、システムがリモート・コード実行 (RCE) にさらされる可能性があることを、セキュリティ研究者たちが特定した。

Gemini CLI の脆弱性

この脆弱性の根本的な原因は、自動化された CI パイプラインなどのヘッドレス環境に対する、Gemini CLI の処理方法にある。以前のバージョンでは、CLI は非対話モードで実行される際に、ワークスペース・フォルダが自動的に信頼されていた。

具体的には、”.gemini/.env” などのローカル・ディレクトリに保存された環境変数を含むコンフィグ・ファイルが、検証されることなくロードされることを意味する。この欠陥を突く攻撃者は、悪意の環境変数をリポジトリに挿入することで、ロードの挙動を悪用できる。

CI ワークフローが、プル・リクエストなどの信頼できない入力を処理する際において、これらの変数をロードする Gemini CLI が、任意のコマンドを実行する可能性がある。これにより、ユーザー操作を必要とせずに、リモート・コード実行へと至る直接的な経路が生じる。

さらに、第 2 の問題として、Gemini CLI の “–yolo” モードにおいて、細分化されたツール許可リストが無視される点も確認された。

その結果として、ワークフローでシェル・コマンドの実行が許可されている場合の攻撃者は、プロンプト・インジェクションの手法を利用して、許可されていないコマンドを実行できる。そのため、信頼できないデータを処理する自動化パイプラインにおけるリスクは大幅に高まる。

この脆弱性は Critical と評価されており、CVSS の指標が示すのは、ネットワーク・ベースでの悪用が可能な点と、攻撃の複雑性が低く、権限およびユーザー操作を必要としない点である。

悪用に成功した攻撃者は、機密性/完全性/可用性を完全に侵害する可能性がある。特に、一部の CI 環境において、この欠陥により、サンドボックスの適用前にホスト・レベルでのコード実行が可能になる。

それが意味するのは、攻撃者が意図された制約を回避し、パイプラインを実行するホスト・システム上で直接コマンドを実行できることである。

たとえば、悪意のコントリビュータであれば、細工された “.gemini/.env” ファイルを含むプル・リクエストを送信できる。CI パイプラインが脆弱なバージョンの Gemini CLI を使用している場合には、そのファイルが自動的に信頼され、ロードされる。

これにより、埋め込まれたコマンドが実行され、シークレットへのアクセスや、ビルド・アーティファクトの改変、または、他のシステムへのピボットなどが、攻撃者に許される可能性がある。

すでに Google は、修正版をリリースし、これらの問題に対処している。アップデート後の Gemini CLI は、ヘッドレス・モードにおいてワークスペースの信頼を明示的に強制し、対話型の挙動と一致させている。

したがって、ワークスペースが明示的に信頼済みとして指定されない限り、コンフィグ・ファイルはロードされなくなった。この更新により、”–yolo” モードでもツールの許可リストが確実に適用され、無制限のコマンド実行は防止される。

ユーザーには、以下の対応が強く推奨される。

  • Gemini CLI をバージョン 0.39.1/0.40.0-preview.3 以降へ、run-gemini-cli をバージョン 0.1.22 以降へアップグレードする。信頼できない入力を処理する、CI/CD ワークフローを見直す。
  • 環境変数 GEMINI_TRUST_WORKSPACE は、信頼できるリポジトリに対してのみ “true” に設定する。厳格なツール許可リストを実装し、不要なコマンド実行を有効化しない。

この脆弱性は、Novee Security と Pillar Security のセキュリティ研究者により責任あるかたちで開示され、アドバイザリ GHSA-wpqr-6v78-jr5g として追跡されている。

自動化パイプラインの広範な利用を考慮し、CI 環境における暗黙の信頼がもたらすリスクとして、この脆弱性を取り扱うべきだ。また、厳格な入力検証および実行制御の必要性を改めて示されている。