Gemini CLI 10分漏洞 GHSA-wpqr-6v78-jr5g 现已在新版本修复 | 信任工作区
🐟
·
2026-05-01
·
via LINUX DO - 最新话题
theregister.com Google fixes CVSS 10.0 vulnerability in Gemini CLI : This CVSS 10.0 RCE vuln has been patched, automatically for some, so better check those workflows [!quote]+ Gemini CLI 和 run-gemini-cli GitHub 操作的更新已于上周发布,但在本周三两个研究团队中的一个发表文章之前,该更新基本上没有引起人们的注意,它修复了一个与过度许可的工作区信任设置有关的关键缺陷,而且这个缺陷显然很容易被滥用。 根据谷歌发布在 GitHub 上的公告,该问题源于 Gemini CLI 的无头模式(常用于 CI/CD 环境,人工智能代理也越来越多地使用该模式)如何处理工作区文件夹信任问题:为了加载配置文件和环境变量,它会自动假定其活动的工作区文件夹都是可信的。 谷歌尚未针对该问题发布CVE,但Meged告诉我们,谷歌已向他确认正在分配CVE。Novee还因此获得了一笔漏洞悬赏金,但拒绝透露具体金额。 GitHub Update to Gemini CLI and run-gemini-cli Trust Model # Summary Gemini CLI (`@google/gemini-cli`) and the `run-gemini-cli` GitHub Action are being updated to harden workspace trust and tool allowlisting, in particular when used in untrusted environ... 1 个帖子 - 1 位参与者 阅读完整话题
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。