Les chercheurs en sécurité préviennent qu’une vulnérabilité dans la CLI Gemini largement utilisée pourrait permettre l’exécution de code à distance dans des environnements CI/CD traitant des entrées non fiables.
Les chercheurs en sécurité mettent en garde contre une vulnérabilité de gravité maximale dans Google Gemini CLI qui pourrait permettre l’exécution de code à distance (RCE) dans des environnements où l’outil traite des entrées non fiables.
Le problème a été révélé par les chercheurs de Novee Security et affecte le package @google/gemini-cli et son action GitHub associée, largement utilisée dans les flux de travail CI/CD.
« Gemini CLI (@google/gemini-cli) et l’action GitHub run-gemini-cli sont en cours de mise à jour pour renforcer la confiance dans l’espace de travail et la liste blanche des outils, en particulier lorsqu’ils sont utilisés dans des environnements non fiables comme GitHub Actions », lit-on dans un avis GitHub publié sur la faille.
Google a reconnu la faille et a remercié les chercheurs en sécurité Elad Meged de Novee Security et Dan Lisichkin de Pillar Security pour avoir signalé le problème via son programme Vulnerability Rewards.
Le problème a été résolu dans les versions @google/gemini-cli 0.39.1 et 0.40.0-preview.3. Un correctif run-gemini-cli a également été publié dans la version 0.1.22.
Configurations d’espace de travail trop fiables
Le problème résidait dans la façon dont la CLI gérait la confiance dans l’espace de travail et l’exécution des commandes dans des environnements automatisés et non interactifs. « Dans les versions concernées, Gemini CLI s’exécutant dans des environnements CI faisait automatiquement confiance aux dossiers de l’espace de travail dans le but de charger les configurations et les variables d’environnement », indique l’avis.
Cela aurait pu être facilement exploité par des attaquants en injectant leurs propres configurations malveillantes dans l’espace de travail approuvé.
« La vulnérabilité a permis à un attaquant externe non privilégié de forcer le chargement de son propre contenu malveillant en tant que configuration Gemini », a déclaré Elad Meged, chercheur chez Novee, dans un article de blog. « Cela a déclenché l’exécution de commandes directement sur le système hôte, contournant la sécurité avant même l’initialisation du bac à sable de l’agent. »
L’impact de la faille était limité aux workflows utilisant Gemini CLI en mode headless, sans interface interactive.
Bien qu’aucun identifiant CVE n’ait encore été attribué à la faille, Meged a déclaré que Google avait évalué un indice de gravité de 10,0, le maximum sur l’échelle CVSS. L’indice de gravité maximum provient probablement de l’exploit nécessitant une faible complexité, des privilèges minimaux et peu ou pas d’interaction de l’utilisateur.
La faille a cependant été classée sous CWE-20, CWE-77, CWE-78 et CWE-200, qui font grossièrement référence à des faiblesses de validation d’entrée incorrecte, d’injection de commandes et de divulgation d’informations.
Le comportement est maintenant corrigé
Google a résolu le problème en supprimant la confiance implicite dans l’espace de travail dans les environnements sans tête et en appliquant des contrôles d’outils plus stricts, modifiant ainsi efficacement le comportement de Gemini CLI dans les pipelines CI/CD.
Les versions corrigées (0.39.1 et 0.40.0-preview.3) nécessitent désormais des décisions de confiance explicites avant de charger les configurations de l’espace de travail, alignant l’exécution non interactive avec les mêmes garanties attendues dans une utilisation interactive.
De plus, le correctif a comblé une lacune critique dans le mode « –yolo » en garantissant que la liste blanche des outils est effectivement appliquée, empêchant ainsi les autorisations de faible portée de se transformer en exécution de commandes sans restriction.
Auparavant, la liste blanche pouvait être contournée, permettant à la CLI d’exécuter des commandes en dehors des restrictions prévues.
Google a également apporté un changement plus large dans l’écosystème. L’action GitHub run-gemini-cli (corrigée dans la v0.1.22) extrait et exécute désormais automatiquement la dernière version de la CLI. Il est conseillé aux flux de travail qui épinglent une version gemni-cli spécifique de mettre à niveau vers une version corrigée et de revoir leurs configurations Gemini CLI existantes pour s’assurer qu’elles ne s’appuient pas sur des valeurs par défaut dangereuses.
