Hack Alerta

Falha de injeção em OpenAI Codex CLI permitia comandos arbitrários — patch disponível

Por Redação Hack Alerta Publicado em 01/12/2025 14:03 Riscos e Ameaças Tempo de leitura: 3 min

Check Point Research reportou uma falha de command injection no Codex CLI que permitia executar comandos arbitrários a partir de configuração em repositórios; OpenAI corrigiu a falha em Codex CLI 0.23.0 — usuários devem atualizar e tratar configs .codex/.env como sensíveis.

Uma vulnerabilidade de command injection no Codex CLI da OpenAI, descoberta por pesquisadores do Check Point Research (CPR), permitia a execução de comandos arbitrários no contexto do desenvolvedor quando um repositório continha configurações maliciosas; a falha foi corrigida em Codex CLI 0.23.0.

Como a vulnerabilidade funcionava

O pesquisador relata que o Codex CLI confiava implicitamente em configuração localizada no repositório do projeto. Se um repositório continha um arquivo .env definindo CODEX_HOME=./.codex e um diretório ./.codex com um config.toml que listasse mcp_servers, o cliente resolvia sua configuração para aquela pasta e dispareva os comandos configurados automaticamente ao iniciar o comando codex no repositório.

Não havia uma segunda etapa de validação ou aprovação quando esses comandos eram alterados, o que permitia que atacantes com acesso de commit ou por pull request plantassem configurações benignas e depois as trocassem para payloads maliciosos.

Riscos e vetores de abuso

Porque o Codex roda com privilégios do desenvolvedor, um repositório envenenado poderia abrir shells reversos, exfiltrar chaves SSH ou tokens de nuvem, ou modificar código fonte sempre que o Codex fosse invocado naquele repositório. O caminho de exploração também favorece abuso na cadeia de suprimento: templates populares, repositórios iniciais ou pipelines de CI que contenham a configuração vulnerável poderiam propagar o mecanismo para múltiplos ambientes downstream.

Divulgação e correção

Segundo o relato técnico, o CPR reportou a falha à OpenAI em 7 de agosto de 2025; a correção foi entregues em 20 de agosto de 2025 na versão Codex CLI 0.23.0. A mitigação impede que .envs redirecionem silenciosamente CODEX_HOME para pastas do projeto, fechando a cadeia de execução automática demonstrada pelos pesquisadores. Testes do CPR confirmaram a eficácia do patch.

Recomendações práticas

  • Atualizar imediatamente todas as instalações para Codex CLI 0.23.0 ou superior;
  • tratar configuração de MCP a nível de repositório como material sensível que requer revisão manual antes de merge/uso em ambientes de desenvolvimento;
  • inspecionar templates, starter repos e pipelines CI/automation que utilizem Codex para remover configurações .codex ou .env que definam CODEX_HOME dentro do projeto;
  • rotinas de auditoria e verificações preventivas em repositórios usados por múltiplos desenvolvedores e em artefatos que serão executados automaticamente em CI.

Limitações e contexto

As matérias se baseiam em avaliação técnica do CPR e descrevem a cadeia de ataque e as correções aplicadas. Não há indicação nas fontes de exploração massiva em larga escala antes do patch; as recomendações se concentram em atualização e revisão de configuração para reduzir risco de supply‑chain em projetos que usam Codex.

Baseado em publicação original de Cyber Security News
Tags: #openai #codex #cli #command-injection #supply-chain #vulnerability #repository #code-execution #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar