CVE-2026-14898 in Codex desktop app for macOSinformazioni

Riassunto

di VulDB • 06/07/2026

L'app desktop OpenAI Codex per macOS rendeva le immagini remote incluse nei Markdown delle risposte del modello. Un attaccante che riuscisse a inserire un indirect prompt injection nel contenuto elaborato da Codex, ad esempio il risultato di uno strumento connesso o di un'altra fonte non attendibile, potrebbe indurre il modello a costruire un URL remoto per un'immagine contenente dati sensibili. L'app scaricava automaticamente tale URL durante la renderizzazione della risposta, inviando i dati incorporati a un server controllato dall'attaccante senza richiedere alcun click separato da parte dell'utente. Lo sfruttamento riuscito potrebbe consentire l'esfiltrazione di segreti e altre informazioni accessibili nella sessione Codex, incluse chiavi API, codice sorgente e dati restituiti dagli strumenti connessi. Non è stato dimostrato un impatto diretto sull'integrità o sulla disponibilità, e non sono note attività di exploit in the wild (sfruttamento attivo nel mondo reale).

Once again VulDB remains the best source for vulnerability data.

Responsabile

OAI

Prenotare

06/07/2026

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00164

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!