Kritisk RCE-sårbarhet (CVSS 10.0) i Google Gemini CLI – flere alvorlige feil også avdekket i Cursor. Ny alvorlig sårbarhet i Linux kernel.
Kritisk RCE-sårbarhet (CVSS 10.0) i Google Gemini CLI – flere alvorlige feil også avdekket i Cursor
Google har rettet en kritisk sårbarhet (CVSS 10.0) i Gemini CLI som kunne la eksterne angripere kjøre vilkårlige kommandoer på vertssystemer. Sårbarheten, som ikke har fått tildelt en egen CVE-identifikator, påvirker følgende versjoner:
@google/gemini-cli < 0.39.1
@google/gemini-cli < 0.40.0-preview.3
google-github-actions/run-gemini-cli < 0.1.22
Feilen ligger i at Gemini CLI ved kjøring i headless-modus (typisk i CI-miljøer) automatisk stolte på arbeidsmappen verktøyet kjørte i, og lastet inn konfigurasjon og miljøvariabler uten validering eller sandboxing. Dette gjorde det mulig for en angriper å plante en spesielt utformet konfigurasjon i .gemini/-mappen som førte til kodekjøring på verten før sandboxen ble initialisert. I praksis kunne CI/CD-pipelines som behandler pull requests fra eksterne bidragsytere bli forvandlet til supply chain-angrepsveier. Oppdateringen krever nå at mapper eksplisitt må markeres som tillitsverdige før konfigurasjonsfiler kan lastes. Brukere som kjører workflows på betrodde inndata kan sette GEMINI_TRUST_WORKSPACE: 'true', mens de som behandler utrygge inndata bør gjennomgå Googles veiledning for å sikre arbeidsflyten. Google har også strammet inn allowlisting av verktøy i --yolo-modus for å hindre at prompt injection via for eksempel GitHub issues kan utløse automatisk kjøring av shell-kommandoer.
Samtidig har Novee Security avdekket en høyalvorlig sårbarhet (CVE-2026-26268, CVSS 8.1) i utviklerverktøyet Cursor før versjon 2.5. Feilen lar en angriper bryte ut av sandboxen via .git-konfigurasjoner, ved å plante et "bare repository" med en ondartet Git-hook som utløses automatisk ved commit eller checkout. Et typisk angrep starter med at en bruker kloner et offentlig GitHub-repo som inneholder et innebygd "bare repository" med en post-checkout hook. Når brukeren deretter ber Cursor-agenten om å forklare kodebasen, parser agenten en AGENTS.md-fil som instruerer den til å kjøre git checkout i bare-repoet, hvilket utløser hooken og fører til kodekjøring uten ytterligere brukerinteraksjon. Sårbarheten ble patchet i februar 2026.
I tillegg har LayerX rapportert en så langt uadressert sårbarhet i Cursor (CVSS 8.2), kalt CursorJacking, som lar enhver installert utvidelse hente ut API-nøkler og legitimasjon lagret i en lokal SQLite-database. Cursor håndhever ikke tilgangskontroll mellom utvidelser og databasen, hvilket kan føre til kontoovertakelse, datalekkasje og økonomisk tap som følge av uautorisert API-bruk. Cursor har påpekt at angrepet forutsetter at brukeren allerede har installert en ondartet utvidelse lokalt, og oppfordrer derfor brukere til kun å installere utvidelser fra pålitelige kilder.
Brukere og organisasjoner anbefales å oppdatere Gemini CLI og Cursor til siste versjon umiddelbart, gjennomgå CI/CD-konfigurasjoner som benytter AI-agenter, og være restriktive med hvilke utvidelser som installeres i utviklingsmiljøet. Det bør også utvises ekstra varsomhet ved kloning av ukjente repositories, særlig når disse åpnes i AI-drevne IDE-er som autonomt kan utføre Git-operasjoner.
Ny alvorlig sårbarhet i Linux kernel
Ny alvorlig sårbarhet i Linux kernel rammer så godt som alle Linux-distribusjoner laget etter 2017 frem til nylig oppdatering.
Sårbarheten vurderes å være mer alvorlig enn kalkulert i CVE(7.8) på grunn av utbredelsen av sårbare systemer.
CVE-2026-31431, også kalt Copy Fail, er en sårbarhet i linux kernel som finnes i alle store Linux distribusjoner, inkludert Ubuntu, Amazon Linux, RHEL, SUSE. Funnet er attibuert til Taeyang Lee, forsker på sikkerhet hos theori.io . Den har vært kjent i lukkede miljøer i ca. to uker, men er ikke publisert før nå.
I korte trekk gjør utnyttelse av sårbarheten det mulig for en vanlig bruker uten spesielle privilegier å bli root. Utnyttelse krever hverken nettverkstilgang, muligheter for debug eller installerte komponenter.
Oppdater Linux kernel til 6.19.13 eller senere, avhjelpende tiltak er å blokkere opprettelse av AF_ALG-sockets ved hjelp av seccomp eller å svarteliste algif_aead modulen.
