CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-57456

High
Published: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.14%

4th percentile — higher than 4% of all known CVEs

Summary

W Vimie przed wersją 9.2.0699 funkcja autouzupełniania Python (omni-completion) wykonuje zrekonstruowane definicje funkcji i klas z bieżącego bufora za pomocą exec(). Podczas rekonstrukcji kodu, docstring każdego zakresu jest wstawiany dosłownie między potrójnymi cudzysłowami bez żadnego escapowania, co pozwala złośliwemu buforowi na wyrwanie się z literału potrójnie cytowanego i wykonanie kodu Python kontrolowanego przez atakującego podczas autouzupełniania.

Risk Assessment

Atakujący może wstrzyknąć i wykonać dowolny kod Python w kontekście edytora Vim, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Recommendation

Vulnerability data from NVD (NIST) · CISA KEV · EPSS