Một lỗ hổng bảo mật nghiêm trọng đã được công bố trong Google Gemini CLI, cho phép kẻ tấn công thực thi mã tùy ý trong một số môi trường CI/CD, đặc biệt là các quy trình công việc GitHub Actions. Lỗ hổng này, được theo dõi là CVE-2026-12537, ảnh hưởng đến nhiều phiên bản của Gemini CLI và GitHub Action liên quan.
Chi tiết Lỗ hổng Gemini CLI
Vấn đề kỹ thuật này ảnh hưởng đến các phiên bản @google/gemini-cli trước 0.39.1 và 0.40.0-preview.3, cũng như các phiên bản google-github-actions/run-gemini-cli trước 0.1.22. Các nhà nghiên cứu bảo mật đã xác định rằng việc xử lý chính sách tin cậy không gian làm việc và thực thi công cụ không đúng cách có thể khiến hệ thống gặp rủi ro thực thi mã từ xa (RCE).
Nguyên nhân gốc rễ và cơ chế khai thác
Nguyên nhân cốt lõi nằm ở cách Gemini CLI trước đây xử lý các môi trường “headless”, chẳng hạn như các pipeline CI tự động. Trong các phiên bản cũ hơn, CLI tự động tin cậy các thư mục không gian làm việc khi chạy ở chế độ không tương tác. Điều này có nghĩa là các tệp cấu hình, bao gồm các biến môi trường được lưu trữ trong các thư mục cục bộ như .gemini/.env, đã được tải mà không cần xác minh.
Kẻ tấn công có thể khai thác hành vi này bằng cách chèn các biến môi trường độc hại vào một kho lưu trữ. Khi một quy trình công việc CI xử lý đầu vào không đáng tin cậy, chẳng hạn như một yêu cầu kéo (pull request), Gemini CLI sẽ tải các biến này và có khả năng thực thi các lệnh tùy ý. Điều này tạo ra một đường dẫn trực tiếp đến RCE mà không yêu cầu sự tương tác của người dùng.
Ngoài ra, một vấn đề thứ hai liên quan đến chế độ --yolo, nơi Gemini CLI bỏ qua danh sách cho phép công cụ chi tiết. Nếu các quy trình công việc cho phép thực thi lệnh shell, kẻ tấn công có thể sử dụng các kỹ thuật injection prompt để chạy các lệnh trái phép. Điều này làm tăng đáng kể rủi ro bảo mật trong các pipeline tự động xử lý dữ liệu không đáng tin cậy.
Đánh giá Mức độ Nghiêm trọng (CVSS)
Lỗ hổng này được đánh giá là nghiêm trọng, với các chỉ số CVSS cho thấy khả năng khai thác qua mạng, độ phức tạp tấn công thấp và không yêu cầu đặc quyền hoặc tương tác người dùng. Việc khai thác thành công có thể dẫn đến sự thỏa hiệp hoàn toàn về tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống.
Đáng chú ý, lỗ hổng này cho phép thực thi mã cấp độ host trước sandbox trong một số môi trường CI. Điều này có nghĩa là kẻ tấn công có thể thoát khỏi các giới hạn dự kiến và thực thi lệnh trực tiếp trên hệ thống host đang chạy pipeline. Ví dụ, một người đóng góp độc hại có thể gửi một yêu cầu kéo chứa một tệp .gemini/.env được chế tạo.
Nếu pipeline CI sử dụng phiên bản Gemini CLI bị lỗi, nó sẽ tự động tin cậy và tải tệp đó. Điều này có thể kích hoạt việc thực thi các lệnh được nhúng, cho phép kẻ tấn công truy cập thông tin bí mật, sửa đổi các tạo phẩm xây dựng hoặc chuyển sang các hệ thống khác. Đây là một mối đe dọa mạng rất nguy hiểm.
Các phiên bản bị ảnh hưởng
Các phiên bản cụ thể của công cụ bị ảnh hưởng bao gồm:
@google/gemini-cli: trước phiên bản 0.39.1 và 0.40.0-preview.3.google-github-actions/run-gemini-cli: trước phiên bản 0.1.22.
Các biện pháp Khắc phục và Bảo vệ
Google đã phát hành các phiên bản đã vá để giải quyết các vấn đề này. Gemini CLI cập nhật thực thi sự tin cậy rõ ràng của không gian làm việc ở chế độ headless, phù hợp với hành vi tương tác. Các tệp cấu hình sẽ không còn được tải trừ khi không gian làm việc được đánh dấu rõ ràng là đáng tin cậy. Bản cập nhật cũng đảm bảo rằng danh sách cho phép công cụ được thực thi ngay cả ở chế độ --yolo, ngăn chặn việc thực thi lệnh không hạn chế.
Người dùng được khuyến nghị thực hiện các hành động sau:
- Nâng cấp lên phiên bản Gemini CLI 0.39.1 hoặc 0.40.0-preview.3, và
run-gemini-cliphiên bản 0.1.22 trở lên. - Xem xét các quy trình công việc CI/CD xử lý đầu vào không đáng tin cậy.
- Đặt biến môi trường
GEMINI_TRUST_WORKSPACEthànhtruechỉ cho các kho lưu trữ đáng tin cậy. - Triển khai danh sách cho phép công cụ nghiêm ngặt và tránh bật thực thi lệnh không cần thiết.
Thông tin Khai báo Lỗ hổng
Lỗ hổng này, được theo dõi dưới dạng GHSA-wpqr-6v78-jr5g, đã được các nhà nghiên cứu bảo mật từ Novee Security và Pillar Security khai báo một cách có trách nhiệm. Với việc sử dụng rộng rãi các pipeline tự động, lỗ hổng này nhấn mạnh nguy cơ bảo mật của sự tin cậy ngầm định trong môi trường CI và củng cố sự cần thiết của việc xác thực đầu vào nghiêm ngặt và kiểm soát thực thi.
Để tăng cường khả năng phòng thủ, hãy xem xét các giải pháp phát hiện mối đe dọa tiên tiến. Tìm hiểu thêm về cách tích hợp các công cụ phân tích mã độc vào quy trình công việc bảo mật của bạn tại ANY.RUN Enterprise.
