CVE-2026-33412
ŚrednieCVSS 5.6Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 - wyżej niż 54% wszystkich znanych CVE
Streszczenie
W Vimie przed wersją 9.2.0202 wykryto podatność na wstrzykiwanie poleceń w funkcji glob() na systemach uniksowych. Poprzez umieszczenie znaku nowej linii (\n) we wzorcu przekazywanym do glob() atakujący może wykonać dowolne polecenia powłoki. Podatność zależy od ustawienia 'shell' użytkownika.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolne polecenia w systemie ofiary, co prowadzi do pełnej kompromitacji poufności, integralności i dostępności danych.
Rekomendacja
Należy natychmiast zaktualizować Vima do wersji 9.2.0202 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć użycie funkcji glob() z niezaufanymi wzorcami.
Oryginalny opis (angielski, źródło NVD)
Vim is an open source, command line text editor. Prior to version 9.2.0202, a command injection vulnerability exists in Vim's glob() function on Unix-like systems. By including a newline character (\n) in a pattern passed to glob(), an attacker may be able to execute arbitrary shell commands. This vulnerability depends on the user's 'shell' setting. This issue has been patched in version 9.2.0202.

