В инструменте интеграции Gemini MCP Tool обнаружена критическая уязвимость нулевого дня, позволяющая неавторизованным злоумышленникам выполнять произвольный код на уязвимых системах. Уязвимость не требует взаимодействия с пользователем или аутентификации, что делает её чрезвычайно опасной для производственных сред. Проблема получила идентификатор CVE-2026-0755 и максимально высокий балл 9.8 по шкале CVSS v3.0.
Детали уязвимости
Техническая суть уязвимости заключается в недостаточной проверке пользовательского ввода в методе "execAsync" библиотеки "gemini-mcp-tool". Это позволяет проводить атаки типа "инъекция команд". Злоумышленники могут формировать специальные вредоносные строки, которые обходят механизмы валидации входных данных. В результате произвольные системные команды выполняются с правами учётной записи службы, в контексте которой работает инструмент.
Уязвимость доступна из сети и для её эксплуатации не требуются специальные привилегии или сложные методы. Следовательно, её можно тривиально использовать в массовых атаках. Вектор CVSS v3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H подтверждает, что атака возможна через сеть, имеет низкую сложность, не требует привилегий и ведёт к полной компрометации конфиденциальности, целостности и доступности системы.
Ошибка была обнаружена и сообщена Питером Гирнусом из Trend Research. Затем она была зарегистрирована в программе Zero Day Initiative (ZDI) компании Trend Micro под идентификаторами ZDI-26-021 и ZDI-CAN-27783. Процесс ответственного раскрытия информации занял около шести месяцев. Изначально ZDI уведомила вендора о проблеме 25 июля 2025 года через стороннюю платформу координации.
После нескольких месяцев ограниченного взаимодействия с разработчиком, ZDI запросила обновления о статусе исправления 10 ноября 2025 года. Поскольку прогресс был недостаточным, 14 декабря 2025 года вендору было направлено уведомление о намерении опубликовать бюллетень как информацию об уязвимости нулевого дня. Публичное раскрытие состоялось 9 января 2026 года в рамках скоординированного выпуска консультативного бюллетеня.
Уязвимость затрагивает все установки "gemini-mcp-tool". На момент публикации новости патчи или официальные исправления от вендора отсутствуют. Поэтому основная стратегия смягчения последствий - это немедленная изоляция уязвимых систем от сети и полное ограничение взаимодействия с данным продуктом.
Эксперты по безопасности настоятельно рекомендуют организациям, использующим этот инструмент, принять срочные меры. Во-первых, необходимо реализовать строгий контроль доступа и ограничить воздействие только доверенными сетями. Во-вторых, следует рассмотреть возможность временного перехода на альтернативные решения до тех пор, пока разработчик не предоставит официальное исправление.
Данный инцидент highlights важность тщательного аудита безопасности инструментов, используемых для интеграции AI-моделей и автоматизации. Уязвимости в компонентах, подобных MCP (Model Context Protocol), могут стать лёгкой точкой входа для злоумышленников в корпоративную инфраструктуру. Специалистам SOC (Security Operations Center) и администраторам следует включить соответствующие сигнатуры в системы мониторинга IDS/IPS (системы обнаружения и предотвращения вторжений) для выявления попыток эксплуатации.
Текущая ситуация служит напоминанием о рисках, связанных с зависимостью от недостаточно протестированных сторонних компонентов с открытым исходным кодом. Пока вендор не выпустит обновление, единственным надёжным способом защиты остаётся полное отключение и замена уязвимого инструмента.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0755
- https://www.zerodayinitiative.com/advisories/ZDI-26-021/
