Google Corrige Vulnerabilidades CVSS 10 no Gemini CLI e Falhas no Cursor que Permitem Execução de Código

O Google corrigiu uma vulnerabilidade CVSS 10 crítica no Gemini CLI e em sua GitHub Action, que permitia que workspaces CI não confiáveis carregassem configurações .gemini maliciosas e executassem comandos arbitrários antes do sandboxing. A correção agora exige confiança explícita do workspace e listas de permissão de ferramentas mais restritas em modos headless e --yolo. Separadamente, o Cursor resolveu um escape de sandbox baseado em .git hook, mas ainda possui um problema não corrigido que permite a qualquer extensão ler API keys e tokens locais. Por isso, recomenda-se instalar apenas extensões confiáveis no Cursor.