SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Sicherheitslücken in Google Gemini CLI und Cursor gefährden CI/CD-Pipelines

Von CyberDeutsch Redaktion
Kritische Sicherheitslücken in Google Gemini CLI und Cursor gefährden CI/CD-Pipelines
Zusammenfassung

Google hat eine kritische Sicherheitslücke in der Gemini CLI behoben, die mit der maximalen Schweregrad-Bewertung CVSS 10.0 bewertet wurde. Die Schwachstelle in dem npm-Paket "@google/gemini-cli" und dem GitHub Actions-Workflow ermöglichte es Angreifern, beliebige Befehle auf Hostsystemen auszuführen, indem sie bösartige Konfigurationsdateien in CI/CD-Pipelines einschleusten. Das Problem betraf besonders Umgebungen, in denen Gemini CLI im Headless-Modus – typischerweise in automatisierten Workflows – automatisch Workspace-Ordner vertraute, ohne diese vorher zu überprüfen. Dies machte Entwicklungs-Pipelines zu potenziellen Angriffsvektoren für Supply-Chain-Attacken. Parallel wurde auch eine kritische Sicherheitslücke in dem KI-gestützten Entwicklungstool Cursor (CVE-2026-26268, CVSS 8.1) entdeckt, die durch manipulierte Git-Hooks zu Code-Execution führen kann. Deutsche Unternehmen und Entwickler, die diese Tools – insbesondere in automatisierten Entwicklungsprozessen – einsetzen, sind potentiell betroffen. Sie sollten ihre Workflows überprüfen, betroffene Versionen aktualisieren und explizite Vertrauensmechanismen implementieren, um unbefugten Dateizugriff zu verhindern und ihre Software-Supply-Chain zu schützen.

Die Sicherheitsforscher von Novee Security entdeckten, dass Gemini CLI in Headless-Modus (typisch für CI-Umgebungen) automatisch Workspace-Ordner vertraute, ohne diese zu überprüfen. Dies ermöglichte es Angreifern, bösartige Konfigurationsdateien im .gemini/-Verzeichnis zu platzieren und damit Code auf dem Host-System auszuführen – ein klassisches Szenario für Supply-Chain-Attacken.

Googles Behebung verlangt nun, dass Ordner explizit vertraut werden müssen, bevor Konfigurationsdateien geladen werden können. Besonders problematisch war die automatische Vertrauensvergabe in CI-Umgebungen, die User-Pull-Requests verarbeiten. Attackers könnten damit unbemerkt Befehle über Git-Hooks oder manipulierte Umgebungsvariablen einschleusen.

Zusätzlich wurden Probleme mit dem “–yolo”-Modus identifiziert, der automatisch alle Tool-Aufrufe (inklusive Shell-Commands) ausführt, ohne Nutzer-Bestätigung zu erfordern. In Version 0.39.1 greift Google hier durch: Die Policy-Engine überprüft nun auch im –yolo-Modus Allowlisten, um Prompt-Injection durch untrusted Inputs zu verhindern.

Parallel zeigten Sicherheitsforscher kritische Flaws in Cursor, der populären KI-gesteuerten IDE: CVE-2026-26268 (CVSS 8.1) ermöglicht Sandbox-Escape durch manipulierte Git-Konfigurationen. Ein bösartiger Agent kann eine bare Repository mit malicious Pre-Commit-Hooks erstellen, die automatisch bei Git-Operationen ausgelöst werden – ohne Nutzer-Interaktion.

Forscher Assaf Levkovich erklärt das Kernproblem: Wenn der KI-Agent autonome Git-Operationen in fremden Repositories ausführt, entgehen Hooks dem Sicherheits-Reasoning des Agenten und dem Sichtfeld des Nutzers vollständig.

Eine weitere Schwachstelle (CVSS 8.2), getauft “CursorJacking”, erlaubt installierten Extensions direkten Zugriff auf sensible API-Keys und Session-Token in der lokalen SQLite-Datenbank – ohne Access-Control-Grenzen. Cursor argumentiert, das Risiko sei begrenzt auf lokal instalierte Extensions. Doch Sicherheitsforscher Roy Paz warnt: Jede böswillige Extension mit Dateisystem-Zugriff könnte Anmeldedaten extrahieren.

Für deutsche Unternehmen mit CI/CD-Pipelines und Cursor-Nutzung gilt: Nur vertrauenswürdige Extensions installieren, CI-Workflows überprüfen und auf aktualisierte Tool-Versionen upgraden.

Ähnliche Artikel