Google ได้แก้ไขช่องโหว่ความรุนแรงสูงสุดใน Gemini CLI ซึ่งเป็น npm package และ GitHub Actions workflow ที่อาจทำให้ผู้โจมตีสามารถรันคำสั่งตามอำเภอใจบนระบบโฮสต์ได้ ช่องโหว่ดังกล่าวมีคะแนน CVSS 10.0 เกิดจากความสามารถในการโหลดการกำหนดค่าโดยไม่ต้องตรวจสอบ ทำให้ผู้โจมตีสามารถฝังการกำหนดค่าที่เป็นอันตรายเพื่อรันโค้ดบนระบบที่รัน agent ได้

การอัปเดตนี้แก้ไขโดยกำหนดให้ผู้ใช้ต้องยืนยันความน่าเชื่อถือของโฟลเดอร์ก่อนที่จะเข้าถึงไฟล์กำหนดค่า ผู้ใช้ควรตรวจสอบ workflow ของตนและเลือกใช้วิธีใดวิธีหนึ่ง: หาก workflow รันบน input ที่เชื่อถือได้ ให้ตั้งค่า GEMINI_TRUST_WORKSPACE: ‘true’ หากไม่เชื่อถือ ให้ปฏิบัติตามคำแนะนำของ Google เพื่อป้องกัน

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• CVSS – ระบบคะแนนความรุนแรงของช่องโหว่
• RCE (Remote Code Execution) – การรันโค้ดจากระยะไกล
• CI/CD pipeline – กระบวนการอัตโนมัติสำหรับ build, test และ deploy ซอฟต์แวร์
• npm package – แพ็กเกจซอฟต์แวร์สำหรับ Node.js
• GitHub Actions workflow – ระบบ automation บน GitHub