theregister.com
Google fixes CVSS 10.0 vulnerability in Gemini CLI
: This CVSS 10.0 RCE vuln has been patched, automatically for some, so better check those workflows
[!quote]+
Gemini CLI 和 run-gemini-cli GitHub 操作的更新已于上周发布,但在本周三两个研究团队中的一个发表文章之前,该更新基本上没有引起人们的注意,它修复了一个与过度许可的工作区信任设置有关的关键缺陷,而且这个缺陷显然很容易被滥用。根据谷歌发布在 GitHub 上的公告,该问题源于 Gemini CLI 的无头模式(常用于 CI/CD 环境,人工智能代理也越来越多地使用该模式)如何处理工作区文件夹信任问题:为了加载配置文件和环境变量,它会自动假定其活动的工作区文件夹都是可信的。
谷歌尚未针对该问题发布CVE,但Meged告诉我们,谷歌已向他确认正在分配CVE。Novee还因此获得了一笔漏洞悬赏金,但拒绝透露具体金额。
GitHub
Update to Gemini CLI and run-gemini-cli Trust Model
# Summary Gemini CLI (`@google/gemini-cli`) and the `run-gemini-cli` GitHub Action are being updated to harden workspace trust and tool allowlisting, in particular when used in untrusted environ...
1 个帖子 - 1 位参与者
来源: linux.do查看原文