Vulnerabilidades críticas en Gemini CLI y Cursor permiten ejecución remota de código
Publicado el
Google corrige vulnerabilidades críticas en Gemini CLI y Cursor
Google ha abordado una vulnerabilidad de máxima gravedad en Gemini CLI, un paquete de npm utilizado en flujos de trabajo de GitHub Actions. Esta falla, que carece de un identificador CVE, recibe un puntaje de CVSS 10.0 y podría permitir a atacantes no privilegiados ejecutar comandos arbitrarios en sistemas anfitriones.
Según un informe de Novee Security, la vulnerabilidad permitía a un atacante externo forzar la carga de contenido malicioso como configuración de Gemini. Esto desencadenaba la ejecución de comandos directamente en el sistema anfitrión, eludiendo las medidas de seguridad antes de que se inicializara el entorno seguro del agente.
Los problemas afectan a las versiones: - @google/gemini-cli < 0.39.1 - @google/gemini-cli < 0.40.0-preview.3 - google-github-actions/run-gemini-cli < 0.1.22
En el aviso publicado la semana pasada, Google indicó que el impacto está limitado a flujos de trabajo que utilizan Gemini CLI en modo sin cabeza. Cualquier uso de la herramienta en este modo sin la confianza de carpetas requerirá una revisión manual para configurar este mecanismo de confianza.
La advertencia señala que en versiones anteriores, Gemini CLI, al ejecutarse en entornos de CI (modo sin cabeza), confiaba automáticamente en las carpetas de trabajo para cargar configuraciones y variables de entorno. Esto representa un riesgo significativo cuando Gemini CLI se ejecuta en carpetas no confiables, como en flujos de trabajo de CI que revisan pull requests de usuarios.
Si se utiliza con contenidos de directorio no confiables, esto podría llevar a la ejecución remota de código a través de variables de entorno maliciosas en el directorio local .gemini/. La confianza automática en la carpeta de trabajo actual permitía que la herramienta cargara cualquier configuración de agente que encontrara sin revisión, sandboxing o consentimiento explícito del usuario. Un atacante podría aprovechar este comportamiento al plantar una configuración especialmente diseñada.
Para mitigar este riesgo, Google ha actualizado el funcionamiento de la herramienta para exigir que las carpetas sean explícitamente confiables antes de acceder a archivos de configuración. Los usuarios deben revisar sus flujos de trabajo y adoptar una de dos estrategias: si el flujo de trabajo se basa en entradas de confianza, deben establecer GEMINI_TRUST_WORKSPACE: 'true'; si se basa en entradas no confiables, deben revisar la guía de Google para endurecer la configuración del flujo de trabajo.
Vulnerabilidad en Cursor
Simultáneamente, Novee Security ha destacado una vulnerabilidad de alta gravedad en la herramienta de desarrollo impulsada por IA, Cursor, en versiones anteriores a 2.5 (CVE-2026-26268, CVSS 8.1). Esta falla también podría permitir la ejecución arbitraria de código mediante inyecciones de comandos.
En un aviso de febrero de 2026, Cursor describió esta vulnerabilidad como un caso de escape de sandbox a través de configuraciones de .git, permitiendo que un agente malicioso configurara un repositorio bare que ejecutara automáticamente un *hook* de Git malicioso en cada operación de commit sin requerir interacción del usuario.
El resultado es la ejecución de código arbitrario en la máquina de la víctima a través de una serie de acciones que comienzan con el clonaje de un repositorio público de GitHub que contiene el repositorio bare con el *hook* malicioso. Cuando el usuario abre el repositorio en CursorIDE y realiza una consulta inocente, el agente de Cursor ejecuta automáticamente el *hook*, desencadenando la ejecución del código.
El investigador de seguridad Assaf Levkovich indica que la raíz del problema no es un defecto en la lógica del producto principal de Cursor, sino una consecuencia de la interacción de características en Git. La situación se vuelve explotable cuando un agente de IA comienza a ejecutar operaciones de Git de manera autónoma en repositorios que no controla, lo que podría tener consecuencias severas si no se gestiona adecuadamente.
Ambas vulnerabilidades subrayan la importancia de la revisión cuidadosa de las configuraciones y la gestión de la confianza en entornos de desarrollo, especialmente en flujos de trabajo automatizados.