ChatGPT Agent - XSS on file://home/oai/redirect.html

plus petit que 1 minute de lecture

Mis à jour : September 08, 2025

Vulnérabilité XSS dans ChatGPT Agent

Le mode Agent de ChatGPT, qui utilise un navigateur dans une machine virtuelle distante, est affecté par une vulnérabilité de Cross-Site Scripting (XSS). Le fichier file:///home/oai/redirect.html, présent par défaut dans la VM, est vulnérable via son paramètre target.

Points clés :

La vulnérabilité permet de rediriger vers des URL javascript:, potentiellement dangereuses.
Le mode Agent peut être amené à ouvrir une URL file:// en l’incluant dans une page web.

Vulnérabilités exploitables :

XSSI (Cross-Site Script Inclusion) : Si un fichier local sensible, dont le contenu est un script JavaScript valide, est chargé.
Lecture de fichiers locaux via SpectreJS : Des attaquants avancés peuvent utiliser SpectreJS pour lire n’importe quel fichier local en le chargeant comme sous-ressource (image, script, etc.).

Recommandations :

Bien que des versions corrigées existent, il est conseillé aux utilisateurs de s’assurer qu’ils utilisent la dernière version disponible du package ChatGPT Agent pour bénéficier des correctifs de sécurité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ChatGPT Agent - XSS on file://home/oai/redirect.html

Vulnérabilité XSS dans ChatGPT Agent

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast