O Google lançou correções para uma falha crítica no Gemini CLI (CVSS 10.0) que podia permitir execução remota de comandos em pipelines CI headless via configurações maliciosas, além de abordar contornos de allowlisting em --yolo mode; simultaneamente, foram divulgadas vulnerabilidades no Cursor (inclusive CVE-2026-26268) que possibilitam escape de sandbox via .git e exposição de chaves locais por extensões, exigindo revisão de workflows e cuidado com extensões instaladas.
O Google corrigiu uma falha de segurança de gravidade máxima no Gemini CLI que poderia permitir execução arbitrária de comandos no sistema hospedeiro.
O problema afetava os pacotes @google/gemini-cli < 0.39.1, @google/gemini-cli < 0.40.0-preview.3 e google-github-actions/run-gemini-cli < 0.1.22 e recebeu nota CVSS 10.0.
A vulnerabilidade permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do agente, disparando execução de comandos antes do sandbox ser inicializado.
Em versões anteriores, o Gemini CLI em ambientes CI (modo headless) confiava automaticamente nas pastas do workspace para carregar configurações e variáveis de ambiente, o que facilitava a ação de invasores que plantassem configurações especialmente manipuladas.
A correção exige que pastas sejam explicitamente marcadas como confiáveis antes que arquivos de configuração possam ser acessados.
O Google orienta revisar os fluxos de trabalho e, se o workflow processar apenas entradas confiáveis, definir GEMINI_TRUST_WORKSPACE: ‘true’; caso receba entradas não confiáveis, seguir as orientações do repositório google-github-actions/run-gemini-cli para endurecer o workflow e definir a variável de ambiente apropriada.
Outra melhoria aborda um contorno de allowlisting quando o Gemini CLI é executado em –yolo mode, garantindo que a engine de políticas avalie as allowlists mesmo no modo autoaprovado.
Na versão 0.39.1, a engine passa a avaliar a allowlist de ferramentas sob –yolo, o que pode fazer com que alguns fluxos que dependiam do comportamento anterior falhem silenciosamente a menos que as allowlists sejam ajustadas.
Paralelamente, a empresa Novee Security divulgou uma vulnerabilidade de alta gravidade no Cursor anterior à versão 2.5 (CVE-2026-26268, CVSS 8.1) que também poderia levar à execução de código por meio de prompt injection.
O vetor envolvia a criação de um repositório .git malicioso com um hook que é executado automaticamente quando operações de commit ocorrem dentro do repositório incorporado, permitindo escape de sandbox sem interação do usuário.
Foi ainda identificada outra falha de controle de acesso de alta gravidade no IDE (CVSS 8.2), apelidada CursorJacking, que poderia permitir que extensões instaladas acessassem chaves de API e credenciais armazenadas localmente num banco SQLite.
Os pesquisadores ressaltaram que a exploração pode levar a exposição de tokens de sessão, uso não autorizado de APIs e roubo de dados, e que o problema permanece sem correção.
O Cursor afirmou que o acesso é limitado à máquina local onde a extensão foi instalada e que, por isso, uma extensão maliciosa com acesso ao sistema de arquivos local poderia extrair informações valiosas.
Diante disso, recomenda-se que os usuários prefiram extensões confiáveis e verifiquem seus fluxos de trabalho e configurações para mitigar riscos.
