Google a corrigé deux vulnérabilités de sécurité dans ses outils Gemini CLI et Cursor. La première, avec un score CVSS de 10, permettait l'exécution de code à distance (RCE) via l'interface en ligne de commande. La seconde faille, présente dans l'éditeur Cursor, permettait également l'exécution de commandes non autorisées. Toutes deux représentaient un risque grave pour les développeurs et les utilisateurs, car un attaquant pouvait compromettre des systèmes sans interaction de l'utilisateur.
Détails techniques des vulnérabilités corrigées 🛡️
La vulnérabilité dans Gemini CLI, classée comme critique, exploitait une faille dans la gestion des entrées utilisateur pour injecter des commandes arbitraires. Dans Cursor, l'erreur résidait dans la validation insuffisante des paramètres lors du traitement des fichiers, ce qui permettait l'exécution de code à distance. Les deux failles affectaient les versions récentes des outils. Google recommande de mettre à jour immédiatement vers les versions corrigées. Aucun cas d'exploitation active n'a été signalé, mais le risque était élevé en raison de l'utilisation répandue de ces outils dans les environnements de développement.
Quand l'assistant de code veut devenir hacker 😈
Donc, selon Google, vos outils d'IA préférés pouvaient transformer votre terminal en parc d'attractions pour hackers. Le tout sans que vous ne leviez le petit doigt. Gemini CLI et Cursor, conçues pour vous aider à programmer, ont failli vous aider à vous faire pirater le système. Heureusement que Google l'a réparé avant qu'un malin ne décide que votre code source était un bon endroit pour des vacances non autorisées. Mettez à jour, l'IA est déjà assez imprévisible sans ces failles.