CVE-2025-53773
Mis à jour :
Exécution de code à distance via GitHub Copilot
Une faille critique, identifiée sous le code CVE-2025-53773, affecte GitHub Copilot. Elle permet à un attaquant d’exécuter du code à distance et de compromettre intégralement un système par le biais de techniques d’injection de requêtes (prompt injection).
Points clés et Vulnérabilité :
- La vulnérabilité réside dans la capacité de GitHub Copilot à modifier des fichiers de projet sans consentement utilisateur explicite.
- Elle cible spécifiquement le fichier de configuration
.vscode/settings.json. - Un attaquant peut manipuler Copilot en injectant des requêtes malveillantes dans diverses sources (code source, pages web, tickets GitHub).
- L’objectif est d’insérer la ligne
"chat.tools.autoApprove": truedans le fichier de configuration. - Ceci active un mode “YOLO” pour l’assistant IA, désactivant les confirmations utilisateur.
- En conséquence, Copilot peut exécuter des commandes shell, naviguer sur le web et effectuer d’autres actions privilégiées sans supervision, menant à une compromission du système.
Recommandations :
- Soyez vigilant quant aux requêtes envoyées à GitHub Copilot.
- Évitez d’inclure des informations sensibles ou des commandes dans les descriptions de tickets ou les commentaires de code qui pourraient être interprétées comme des instructions par Copilot.
- Restez informé des mises à jour et correctifs de sécurité publiés par GitHub.