CVE Catalog
CVE-2026-57456
HighPublished: —NVD NIST
Exploitation Probability (EPSS)
Low risk0.14%
4th percentile — higher than 4% of all known CVEs
Summary
W Vimie przed wersją 9.2.0699 funkcja autouzupełniania Python (omni-completion) wykonuje zrekonstruowane definicje funkcji i klas z bieżącego bufora za pomocą exec(). Podczas rekonstrukcji kodu, docstring każdego zakresu jest wstawiany dosłownie między potrójnymi cudzysłowami bez żadnego escapowania, co pozwala złośliwemu buforowi na wyrwanie się z literału potrójnie cytowanego i wykonanie kodu Python kontrolowanego przez atakującego podczas autouzupełniania.
Risk Assessment
Atakujący może wstrzyknąć i wykonać dowolny kod Python w kontekście edytora Vim, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

