Google ha solucionado dos vulnerabilidades de seguridad en sus herramientas Gemini CLI y Cursor. La primera, con una puntuación CVSS de 10, permitía la ejecución remota de código (RCE) a través de la interfaz de línea de comandos. La segunda falla, presente en el editor Cursor, también posibilitaba la ejecución de comandos no autorizados. Ambas representaban un riesgo grave para desarrolladores y usuarios, ya que un atacante podía comprometer sistemas sin interacción del usuario.
Detalles técnicos de las vulnerabilidades corregidas 🛡️
La vulnerabilidad en Gemini CLI, clasificada como crítica, explotaba un fallo en el manejo de entradas de usuario para inyectar comandos arbitrarios. En Cursor, el error residía en la validación insuficiente de parámetros al procesar archivos, lo que permitía la ejecución de código remoto. Ambas fallas afectaban a versiones recientes de las herramientas. Google recomienda actualizar a las versiones parcheadas de inmediato. No se han reportado casos de explotación activa, pero el riesgo era alto debido al uso extendido de estas herramientas en entornos de desarrollo.
Cuando el asistente de código quiere ser hacker 😈
Así que, según Google, tus herramientas favoritas de IA podían convertir tu terminal en un parque de diversiones para hackers. Todo sin que moveras un dedo. Gemini CLI y Cursor, diseñadas para ayudarte a programar, casi te ayudan a que te hackearan el sistema. Menos mal que Google lo arregló antes de que algún listo decidiera que tu código fuente era un buen lugar para unas vacaciones no autorizadas. Actualiza, que la IA ya es bastante impredecible sin estos agujeros.