Mehrere Schwachstellen (CVE-2025-61260, CVE-2026-21853) in Openai
⚠️ CVE-Referenzen:
CVE-2025-61260
CVE-2026-21853
Zusammenfassung
Eine kritische Schwachstelle in OpenAI Codex CLI ermöglicht Angreifern die Ausführung von beliebigem Schadcode. Dies geschieht durch manipulierte MCP-Konfigurationsdateien, die Codex beim Ausführen innerhalb eines kompromittierten Repositorys automatisch lädt. Betroffen sind Versionen bis 0.23.0. Sysadmins sollten dringend auf die neueste, gepatchtere Version aktualisieren.
A vulnerability was identified in OpenAI Codex CLI v0.23.0 and before that enables code execution through malicious MCP (Model Context Protocol) configuration files. The attack is triggered when a user runs the codex command inside a malicious or compromised repository. Codex automatically loads project-local .env and .codex/config.toml files without requiring user confirmation, allowing attackers to embed arbitrary commands that execute immediately.
Quelle: app.opencve.io