Google修補Gemini CLI重大漏洞,未更新可能導致開發整合流程遭遇遠端執行程式碼攻擊
漏洞概述
Google近日透過GitHub發布資安公告,修補Gemini CLI搭配GitHub Actions使用的重大漏洞。此弱點若不修補或緩解,可能被用於程式開發部署流程,執行遠端程式碼攻擊。
漏洞細節
- 問題源自兩方面:其一是Headless模式下的工作區信任設定不當,會自動將工作區資料夾設為信任,導致攻擊者可透過惡意內容與環境變數觸發執行遠端程式碼。
- 其二為工具允許清單處理機制存在缺陷,攻擊者可透過GitHub Actions工作流程觸發遠端執行程式碼。
影響範圍
該問題影響npm軟體包@google/gemini-cli,並可能影響使用Gemini CLI與GitHub Actions整合的開發流程。
解決方案
Google已發布修補版本,用戶應立即更新Gemini CLI至最新版本,以確保開發環境安全。