支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-59532 基础信息
漏洞信息
                                        # Codex 路径配置逻辑漏洞

## 概述

Codex CLI 是 OpenAI 提供的一个本地运行的代码代理工具。在版本 0.2.0 至 0.38.0 中,存在一个沙箱配置逻辑漏洞,可能导致将模型生成的当前工作目录(cwd)作为沙箱的可写根目录,从而绕过预期的工作区边界。

## 影响版本

- 受影响版本:0.2.0 至 0.38.0

## 漏洞细节

- 沙箱配置逻辑中未正确处理模型生成的当前工作目录(cwd)。
- 攻击者可诱导 Codex CLI 将沙箱的可写根目录设置为用户会话起始目录之外的任意路径。
- 导致模型可以在 Codex 进程有权限的任意路径中进行文件写入和命令执行。
- 该漏洞不影响网络隔离机制,即沙箱依然无法访问网络。

## 影响

- 恶意模型可突破工作区隔离,在主机文件系统中执行任意文件写入或命令操作。
- 漏洞利用范围受限于运行 Codex CLI 进程的用户权限。

## 修复与建议

- **已修复版本**:
  - Codex CLI:0.39.0 及以上版本
  - Codex IDE 扩展:0.4.12 及以上版本

- **用户建议**:
  - 使用版本 0.38.0 或更早的 Codex CLI 用户应立即通过包管理器升级或重新安装最新版本。
  - 使用 Codex IDE 扩展的用户应立即更新至 0.4.12。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Codex has sandbox bypass due to bug in path configuration logic
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Codex CLI is a coding agent from OpenAI that runs locally. In versions 0.2.0 to 0.38.0, due to a bug in the sandbox configuration logic, Codex CLI could treat a model-generated cwd as the sandbox’s writable root, including paths outside of the folder where the user started their session. This logic bypassed the intended workspace boundary and enables arbitrary file writes and command execution where the Codex process has permissions - this did not impact the network-disabled sandbox restriction. This issue has been patched in Codex CLI 0.39.0 that canonicalizes and validates that the boundary used for sandbox policy is based on where the user started the session, and not the one generated by the model. Users running 0.38.0 or earlier should update immediately via their package manager or by reinstalling the latest Codex CLI to ensure sandbox boundaries are enforced. If using the Codex IDE extension, users should immediately update to 0.4.12 for a fix of the sandbox issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenAI Codex CLI 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenAI Codex CLI是OpenAI开源的一个在终端中运行的轻量级编码代理软件。 OpenAI Codex CLI 0.2.0版本至0.38.0版本存在输入验证错误漏洞,该漏洞源于沙箱配置逻辑错误,可能导致任意文件写入和命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-59532 的公开POC
#POC 描述源链接神龙链接
1A Docker-based research environment for analyzing CVE-2025-59532, a path traversal vulnerability in OpenAI Codex CLI that allows arbitrary file write outside the intended workspace sandbox. Part of CMU Course : 18-739 Hacking & Offensive Security in Fall 2025https://github.com/baktistr/cve-2025-59532-pocPOC详情
三、漏洞 CVE-2025-59532 的情报信息

  • 标题: Release 0.39.0 · openai/codex · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

- **版本号**:0.39.0
- **发布日期**:5天前
- **提交记录**:自上次发布以来,有34次提交到main分支

### 新功能
- 引入了新的`/review`命令(#3774)

### 合并的PRs
- **修复问题**:
  - 确保对话和沙箱的工作目录是分开的(#3874)
  - 修复通知丢失的问题(#3867)
  - 修复一些Rust引用问题(#3849)
  - 忽略测试(#3777)

- **功能增强**:
  - 添加`/review`命令(#3774)
  - 重构转录视图以处理HistoryCells(#3753)
  - 使用tokio mutex和异步函数防止阻塞工作线程(#3850)
  - 提示在tui退出时恢复codex(#3757)
  - 使ESC按钮在自动压缩时工作(#3857)
  - 统一动画(#3729)
  - 切换到uuid_v7并收紧ConversationId的使用(#3819)
  - 更新“Codex CLI harness, sandboxing, and approvals”部分(#3822)
  - 在轮询通知中使用代理回复文本(#3756)
  - 在AGENTS.md中添加安装缺失命令的说明(#3807)

这些信息表明,该版本主要集中在修复一些已知问题和引入新功能上,特别是与代码审查和安全性相关的改进。
    Release 0.39.0 · openai/codex · GitHub

  • 标题: Sandbox bypass due to bug in path configuration logic · Advisory · openai/codex · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞标题
- **Sandbox bypass due to bug in path configuration logic**

#### 严重性
- **Severity**: High (8.6/10)

#### 影响版本和修复版本
- **Package**: @openai/codex (npm)
  - **Affected versions**: 0.2.0 <= 0.38.0
  - **Patched versions**: 0.39.0
- **Codex IDE Extension (VS Code)**
  - **Affected versions**: <= 0.4.11
  - **Patched versions**: 0.4.12

#### 描述
- **Description**: 
  - 由于沙盒配置逻辑中的一个错误,Codex CLI 可以将模型生成的 `cwd` 视为沙盒的可写根目录,包括用户开始会话的文件夹之外的路径。
  - 这个逻辑绕过了预期的工作空间边界,允许在 Codex 进程具有权限的地方进行任意文件写入和命令执行。这不影响网络禁用的沙盒限制。

#### 修复措施
- **Remediation**:
  - 我们发布了 Codex CLI 0.39.0 版本,该版本对用于沙盒策略的边界进行了规范化和验证,确保其基于用户开始会话的位置,而不是模型生成的位置。
  - 使用 Codex CLI 0.38.0 或更早版本的用户应立即通过包管理器更新或重新安装最新版 Codex CLI 以确保沙盒边界得到强制执行。
  - 如果使用 Codex IDE 扩展,用户应立即更新到 0.4.12 以修复沙盒问题。

#### CVSS v4 基础指标
- **Exploitability Metrics**:
  - Attack Vector: Network
  - Attack Complexity: Low
  - Attack Requirements: None
  - Privileges Required: Low
  - User interaction: Passive
- **Vulnerable System Impact Metrics**:
  - Confidentiality: High
  - Integrity: High
  - Availability: High
- **Subsequent System Impact Metrics**:
  - Confidentiality: None
  - Integrity: None
  - Availability: None

#### CVE ID
- **CVE-2025-59532**

#### 弱点
- **No CWEs**
    Sandbox bypass due to bug in path configuration logic · Advisory · openai/codex · GitHub

  • 标题: fix: ensure cwd for conversation and sandbox are separate concerns (#… · openai/codex@8595237 · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            该链接的内容为空,无法处理。
    fix: ensure cwd for conversation and sandbox are separate concerns (#… · openai/codex@8595237 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-59532
四、漏洞 CVE-2025-59532 的评论

暂无评论

发表评论