CVE-2025-61260 — OpenAI Codex CLI: Command Injection via Project-Local Configuration

2 minute de lecture

Mis à jour : December 01, 2025

Injection de commandes dans OpenAI Codex CLI via la configuration locale du projet

Une vulnérabilité critique a été identifiée dans OpenAI Codex CLI, permettant l’exécution de commandes arbitraires sur les machines des développeurs. L’outil, qui intègre des modèles d’IA dans les flux de travail, charge automatiquement les configurations spécifiques au projet, y compris les paramètres du protocole MCP (Model Context Protocol).

Les points clés de la vulnérabilité sont les suivants :

Chargement et exécution non sécurisés de la configuration locale : Codex CLI charge et exécute les entrées MCP définies dans les fichiers de configuration locaux d’un projet (notamment .env et ./.codex/config.toml) sans vérification interactive ni validation explicite par l’utilisateur.
Vectorisation par les dépôts de code : Un attaquant capable de committer ou de fusionner des fichiers de configuration malveillants dans un dépôt peut entraîner l’exécution de commandes arbitraires sur tout développeur qui clone ce dépôt et utilise codex.
Contournement de la confiance : Le CLI fait implicitement confiance au contenu des fichiers de configuration locaux, même si celui-ci peut être modifié après approbation ou fusion initiale, créant ainsi une porte dérobée furtive et reproductible.

Vulnérabilité :

CVE-2025-61260 : Injection de commandes via la configuration locale du projet dans OpenAI Codex CLI.

Conséquences potentielles pour le monde réel :

Accès à distance persistant : Permet l’intégration d’un shell inversé ou d’une charge utile persistante.
Exécution silencieuse de commandes arbitraires : Les commandes définies dans les entrées MCP sont exécutées immédiatement au chargement de la configuration.
Escalade et exfiltration de données : Possibilité de voler des identifiants, des secrets, ou de déployer d’autres exploits.
Persistance et échange de charges utiles : Modification furtive des commandes après l’approbation initiale.
Propagation via la chaîne d’approvisionnement logicielle : Compromission de modèles, dépôts de départ ou projets open source populaires.
Contamination des pipelines CI/CD : Si codex est utilisé dans des environnements d’intégration continue ou de build.
Mouvement latéral et élévation de privilèges : Exploitation des identifiants compromis pour accéder à d’autres ressources.

Recommandations :

Mettre à jour OpenAI Codex CLI vers la version 0.23.0 ou ultérieure. La correction bloque la redirection silencieuse de CODEX_HOME vers les répertoires de projet, empêchant ainsi l’exécution automatique de fichiers de projet fournis par un attaquant.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-61260 — OpenAI Codex CLI: Command Injection via Project-Local Configuration

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast