Katalog CVE

CVE-2026-33412

ŚrednieCVSS 5.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.83%

Percentyl 54 - wyżej niż 54% wszystkich znanych CVE

Streszczenie

W Vimie przed wersją 9.2.0202 wykryto podatność na wstrzykiwanie poleceń w funkcji glob() na systemach uniksowych. Poprzez umieszczenie znaku nowej linii (\n) we wzorcu przekazywanym do glob() atakujący może wykonać dowolne polecenia powłoki. Podatność zależy od ustawienia 'shell' użytkownika.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolne polecenia w systemie ofiary, co prowadzi do pełnej kompromitacji poufności, integralności i dostępności danych.

Rekomendacja

Należy natychmiast zaktualizować Vima do wersji 9.2.0202 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć użycie funkcji glob() z niezaufanymi wzorcami.

Oryginalny opis (angielski, źródło NVD)

Vim is an open source, command line text editor. Prior to version 9.2.0202, a command injection vulnerability exists in Vim's glob() function on Unix-like systems. By including a newline character (\n) in a pattern passed to glob(), an attacker may be able to execute arbitrary shell commands. This vulnerability depends on the user's 'shell' setting. This issue has been patched in version 9.2.0202.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS