Se identificó una vulnerabilidad crítica de ejecución remota de código (RCE) en gemini-mcp-tool, rastreada como CVE-2026-0755, que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios a través del método execAsync debido a una validación insuficiente de entradas antes de invocarlas en llamadas al sistema operativo.
La falla presenta una puntuación CVSS v3.1 de 9.8 (Crítica) y ha sido tratada como zero‑day por la comunidad de seguridad, al estar asociada al advisory ZDI-26-021 (ZDI-CAN-27783) y a la ausencia inicial de parches por parte del fabricante. El riesgo principal radica en la posibilidad de compromiso completo del sistema donde se ejecute gemini-mcp-tool, con potencial de movimiento lateral, exfiltración de información y degradación de servicios en entornos donde esta herramienta tenga acceso a recursos sensibles o a infraestructura de orquestación de modelos y procesos automatizados.
Descubre todos los detalles de cómo protegerte, revisando el boletín completo.