Critical Gemini CLI Vulnerability Lets Attackers Execute Arbitrary Code
2026/06/29 CyberSecurityNews — Google の Gemini CLI に存在する、深刻なセキュリティ脆弱性 CVE-2026-12537 が開示された。この脆弱性を悪用する攻撃者は、特定の CI/CD 環境において、特に GitHub Actions のワークフローにおいて、任意のコード実行を引き起こす機会を得る。この脆弱性が影響を及ぼす範囲は、複数のバージョンの Gemini CLI および関連する GitHub Action である。

この脆弱性が存在するのは、@google/gemini-cli のバージョン 0.39.1/0.40.0-preview.3 未満と、google-github-actions/run-gemini-cli のバージョン 0.1.22 未満である。ワークスペースの信頼性に関する不具合とツール実行ポリシーの不適切な処理により、システムがリモート・コード実行 (RCE) にさらされる可能性があることを、セキュリティ研究者たちが特定した。
Gemini CLI の脆弱性
この脆弱性の根本的な原因は、自動化された CI パイプラインなどのヘッドレス環境に対する、Gemini CLI の処理方法にある。以前のバージョンでは、CLI は非対話モードで実行される際に、ワークスペース・フォルダが自動的に信頼されていた。
具体的には、”.gemini/.env” などのローカル・ディレクトリに保存された環境変数を含むコンフィグ・ファイルが、検証されることなくロードされることを意味する。この欠陥を突く攻撃者は、悪意の環境変数をリポジトリに挿入することで、ロードの挙動を悪用できる。
CI ワークフローが、プル・リクエストなどの信頼できない入力を処理する際において、これらの変数をロードする Gemini CLI が、任意のコマンドを実行する可能性がある。これにより、ユーザー操作を必要とせずに、リモート・コード実行へと至る直接的な経路が生じる。
さらに、第 2 の問題として、Gemini CLI の “–yolo” モードにおいて、細分化されたツール許可リストが無視される点も確認された。
その結果として、ワークフローでシェル・コマンドの実行が許可されている場合の攻撃者は、プロンプト・インジェクションの手法を利用して、許可されていないコマンドを実行できる。そのため、信頼できないデータを処理する自動化パイプラインにおけるリスクは大幅に高まる。
この脆弱性は Critical と評価されており、CVSS の指標が示すのは、ネットワーク・ベースでの悪用が可能な点と、攻撃の複雑性が低く、権限およびユーザー操作を必要としない点である。
悪用に成功した攻撃者は、機密性/完全性/可用性を完全に侵害する可能性がある。特に、一部の CI 環境において、この欠陥により、サンドボックスの適用前にホスト・レベルでのコード実行が可能になる。
それが意味するのは、攻撃者が意図された制約を回避し、パイプラインを実行するホスト・システム上で直接コマンドを実行できることである。
たとえば、悪意のコントリビュータであれば、細工された “.gemini/.env” ファイルを含むプル・リクエストを送信できる。CI パイプラインが脆弱なバージョンの Gemini CLI を使用している場合には、そのファイルが自動的に信頼され、ロードされる。
これにより、埋め込まれたコマンドが実行され、シークレットへのアクセスや、ビルド・アーティファクトの改変、または、他のシステムへのピボットなどが、攻撃者に許される可能性がある。
すでに Google は、修正版をリリースし、これらの問題に対処している。アップデート後の Gemini CLI は、ヘッドレス・モードにおいてワークスペースの信頼を明示的に強制し、対話型の挙動と一致させている。
したがって、ワークスペースが明示的に信頼済みとして指定されない限り、コンフィグ・ファイルはロードされなくなった。この更新により、”–yolo” モードでもツールの許可リストが確実に適用され、無制限のコマンド実行は防止される。
ユーザーには、以下の対応が強く推奨される。
- Gemini CLI をバージョン 0.39.1/0.40.0-preview.3 以降へ、run-gemini-cli をバージョン 0.1.22 以降へアップグレードする。信頼できない入力を処理する、CI/CD ワークフローを見直す。
- 環境変数 GEMINI_TRUST_WORKSPACE は、信頼できるリポジトリに対してのみ “true” に設定する。厳格なツール許可リストを実装し、不要なコマンド実行を有効化しない。
この脆弱性は、Novee Security と Pillar Security のセキュリティ研究者により責任あるかたちで開示され、アドバイザリ GHSA-wpqr-6v78-jr5g として追跡されている。
自動化パイプラインの広範な利用を考慮し、CI 環境における暗黙の信頼がもたらすリスクとして、この脆弱性を取り扱うべきだ。また、厳格な入力検証および実行制御の必要性を改めて示されている。
訳者後書:CLI (コマンドライン) から対話型 AI を操作するツールを自動化処理に組み込む際に、特定の条件下で不正な命令が実行される脆弱性 CVE-2026-12537 が発見されました。この問題の背景には、開発の現場で広く使われている自動構築システムなどの環境において、設定用のファイルが安全性の確認なしに自動で読み込まれてしまう仕組み上の不備があります。もしこの隙を突かれると、本来は許可されていないコマンドが動かされ、外部には非公開の大切な情報などが盗み見られるなどの、深刻な影響を被る恐れがあります。対応策としては、利用している関連ツールを最新版へ速やかに更新する必要があります。その上で、設定ファイルの自動読み込み設定を無効化するなど、実行時の制限を厳しく見直すことが大切です。
You must be logged in to post a comment.