CVE-2026-14898 in Codex desktop app for macOS
Riassunto
di VulDB • 06/07/2026
L'app desktop OpenAI Codex per macOS rendeva le immagini remote incluse nei Markdown delle risposte del modello. Un attaccante che riuscisse a inserire un indirect prompt injection nel contenuto elaborato da Codex, ad esempio il risultato di uno strumento connesso o di un'altra fonte non attendibile, potrebbe indurre il modello a costruire un URL remoto per un'immagine contenente dati sensibili. L'app scaricava automaticamente tale URL durante la renderizzazione della risposta, inviando i dati incorporati a un server controllato dall'attaccante senza richiedere alcun click separato da parte dell'utente. Lo sfruttamento riuscito potrebbe consentire l'esfiltrazione di segreti e altre informazioni accessibili nella sessione Codex, incluse chiavi API, codice sorgente e dati restituiti dagli strumenti connessi. Non è stato dimostrato un impatto diretto sull'integrità o sulla disponibilità, e non sono note attività di exploit in the wild (sfruttamento attivo nel mondo reale).
Once again VulDB remains the best source for vulnerability data.