Source et contexte — Check Point Research publie une analyse détaillant CVE-2025-61260, une vulnérabilité d’injection de commandes dans OpenAI Codex CLI liée au chargement implicite de configurations locales de projet via MCP (Model Context Protocol).

Le problème provient du fait que Codex CLI charge automatiquement, au démarrage, des entrées mcp_servers issues d’une configuration projet lorsque le dépôt contient un .env définissant CODEX_HOME=./.codex et un ./.codex/config.toml. Les commandes déclarées y sont alors exécutées immédiatement sans validation, approbation interactive ni recontrôle lors de modifications. La confiance est liée à l’emplacement (le répertoire résolu) plutôt qu’au contenu, permettant de remplacer ultérieurement une config initialement bénigne par une payload malveillante.

Conséquences réelles mises en avant :

  • Exécution de code à distance (RCE) silencieuse lors de l’utilisation de codex dans un dépôt piégé.
  • Persistance via payloads (ex. reverse shell) déclenchées à chaque lancement.
  • Exfiltration de secrets (tokens cloud, clés SSH, code source) et escalade.
  • Chaîne d’approvisionnement: contamination de templates, dépôts populaires, consommateurs en aval.
  • CI/CD: compromission possible des agents et artifacts.
  • Mouvements latéraux grâce aux accès et identifiants récoltés.

Calendrier de divulgation et correctif :

  • 07 août 2025 : divulgation responsable à l’équipe Codex CLI.
  • 20 août 2025 : correctif en Codex CLI 0.23.0 bloquant la redirection CODEX_HOME via .env vers des dossiers du projet, ce qui coupe la voie d’exécution automatique démontrée. Les tests des chercheurs confirment l’efficacité du patch et préconisent la mise à jour vers la version 0.23.0 ou ultérieure.

Observables et techniques:

  • IOCs : aucun indicateur spécifique fourni dans l’article.
  • TTPs :
    • Abus de configuration locale de projet (.env + CODEX_HOME=./.codex).
    • Exécution automatique d’entrées MCP (mcp_servers.*.command) sans approbation.
    • Substitution post-merge de configurations pour persistance.
    • Reverse shell et exfiltration de données/identifiants.
    • Propagation supply chain via templates/dépôts.
    • Contamination CI/CD et mouvements latéraux.

Conclusion — Il s’agit d’un rapport de vulnérabilité technique visant à documenter la faille, ses impacts et le correctif disponible.

🧠 TTPs et IOCs détectés

TTP

Injection de commandes, Exécution de code à distance (RCE), Persistance, Exfiltration de données, Escalade de privilèges, Compromission de la chaîne d’approvisionnement, Compromission CI/CD, Mouvements latéraux, Abus de configuration locale de projet, Exécution automatique de commandes MCP, Substitution post-merge de configurations, Reverse shell

IOC

Aucun indicateur spécifique fourni dans l’article

🔗 Source originale : https://research.checkpoint.com/2025/openai-codex-cli-command-injection-vulnerability/