【Gemini CLI 高危漏洞可导致远程代码执行攻击】

🕐谷歌已修复 Gemini CLI 中的一个高危安全漏洞，该漏洞可能允许攻击者在某些自动化工作流中执行远程代码。该问题影响 npm 软件包 @google/gemini-cli 和 google-github-actions/run-gemini-cli GitHub Action，尤其当它们用于 CI/CD 流水线等无头环境时。

🕑根据安全公告，该漏洞源于两个相关缺陷：不安全的工作区信任处理机制以及在 --yolo 模式下绕过工具白名单限制。这些缺陷共同作用，可能使处理外部用户提交的拉取请求或问题等不受信任内容的系统面临风险。

#Gemini##远程代码#

🍃更多详情参见：http://t.cn/AXxk3YSW