Vulnerabilità RCE in Gemini CLI e Cursor AI: Dettagli e Patch
Dettagli sulla vulnerabilità a massima gravità in Gemini CLI, il flaw in Cursor AI e il dirottamento del pannello Gemini in Chrome. Date, versioni e patch.
Contenuto
Il 29 aprile 2026, Novee Security ha pubblicato un report su una vulnerabilità a massima gravità in Gemini CLI che consentiva l'esecuzione di comandi arbitrari sui sistemi host. Il difetto evidenzia nuovi vettori di attacco supply-chain e sandbox escape per le pipeline CI/CD.
Il flaw a massima gravità in Gemini CLI: Esecuzione di codice prima del sandbox
La vulnerabilità scoperta da Novee Security colpisce il pacchetto npm @google/gemini-cli nelle versioni precedenti alla 0.40.0-preview.3 e il workflow GitHub Actions google-github-actions/run-gemini-cli nelle versioni anteriori alla 0.1.22. Il difetto, a massima gravità, dimostra l'estrema criticità per gli ambienti di sviluppo.
Il problema risiede nella possibilità per un attaccante esterno non privilegiato di manipolare la configurazione dell'agente AI. Come evidenziato dai ricercatori, "The vulnerability allowed an unprivileged external attacker to force their own malicious content to load as Gemini configuration". Questa azione innesca un'esecuzione di codice direttamente sull'host. I ricercatori di Novee Security hanno spiegato che "This triggered command execution directly on the host system, bypassing security before the agent’s sandbox even initialized", dimostrando un sandbox escape radicale che rende inutili le difese di contenimento previste dal sistema.
Circa il 23 aprile 2026, Google ha pubblicato un advisory per limitare l'impatto della vulnerabilità di Gemini CLI, circoscrivendo il rischio ai soli workflow operanti in modalità headless.
Gemini CLI e la minaccia della prompt injection
La vulnerabilità di esecuzione di codice remoto (RCE) sfrutta tecniche di prompt injection. In ambienti CI/CD in cui l'input è controllabile, un prompt predisposto riesce a bypassare i filtri di sicurezza dell'IA e a innescare l'esecuzione di comandi di sistema sull'host.
L'editor AI Cursor e l'esecuzione di codice arbitrario
Novee Security ha evidenziato una vulnerabilità ad alta gravità all'interno dell'editor AI Cursor nelle versioni precedenti alla 2.5. Questo flaw apre la strada all'esecuzione di codice arbitrario tramite prompt injection, estendendo il rischio di compromissione anche agli ambienti di sviluppo basati su IDE con integrazione AI.
Il dirottamento del pannello Gemini in Chrome e i vettori browser-based
L'integrazione dell'IA espone nuovi vettori di attacco anche a livello di browser. Il 3 marzo 2026, Unit 42 ha divulgato i dettagli tecnici di una vulnerabilità in Chrome che permetteva a un'estensione malevola di dirottare il pannello Gemini. La vulnerabilità era stata originariamente riportata nell'ottobre 2025. Il 6 gennaio 2026, precedentemente alla divulgazione di Unit 42, Google aveva già rilasciato la versione 143.0.7499.192 di Chrome per correggere il difetto. Riguardo a questo tipo di minacce, il team di Unit 42 ha sottolineato che "The evolution of browsers integrating AI presets additional risks that add more weight to how dangerous extension-based attacks can be". Le estensioni vedono amplificato il loro impatto dannoso quando riescono a interagire con pannelli AI integrati.
Domande frequenti
- Qual è la vulnerabilità di Gemini CLI scoperta di recente?
- Il 29 aprile 2026, Novee Security ha pubblicato una vulnerabilità a massima gravità in Gemini CLI che consentiva a un attaccante di forzare il caricamento di contenuto malevolo come configurazione, innescando l'esecuzione di codice sull'host prima dell'inizializzazione del sandbox.
- Quali versioni del pacchetto npm Gemini CLI sono interessate dal flaw RCE?
-
Le vulnerabilità colpiscono il pacchetto
@google/gemini-clinelle versioni precedenti alla 0.40.0-preview.3 e il workflow GitHub Actionsgoogle-github-actions/run-gemini-clinelle versioni anteriori alla 0.1.22. - Come agisce la vulnerabilità nell'editor AI Cursor?
- L'editor AI Cursor, nelle versioni precedenti alla 2.5, era affetto da una vulnerabilità ad alta gravità che permetteva l'esecuzione di codice arbitrario tramite tecniche di prompt injection.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://prothect.it/sicurezza/vulnerabilita-critica-nel-gemini-cli-rischio-esecuzione-codice-remoto/
- https://www.cyera.com/research/cyera-research-labs-discloses-command-prompt-injection-vulnerabilities-in-gemini-cli
- https://www.html.it/magazine/gemini-cli-scoperta-grave-vulnerabilita-rischio-esfiltrazione-dati-per-gli-sviluppatori/
- https://knowledge.workspace.google.com/admin/security/indirect-prompt-injections-and-googles-layered-defense-strategy-for-gemini
- https://www.wired.it/article/prompt-injection-cosa-e-gemini-a-rischio/