CVE-2026-34714
KrytyczneCVSS 9.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
Podatność w Vimie przed wersją 9.2.0272 umożliwia natychmiastowe wykonanie kodu po otwarciu spreparowanego pliku w domyślnej konfiguracji. Problem wynika z wstrzyknięcia %{expr} w tabpanel, które nie ma ustawionej flagi P_MLE.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolny kod na stacji administratora lub użytkownika, który otworzy złośliwy plik, co prowadzi do pełnego przejęcia systemu.
Rekomendacja
Należy natychmiast zaktualizować Vima do wersji 9.2.0272 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy unikać otwierania plików z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
Vim before 9.2.0272 allows code execution that happens immediately upon opening a crafted file in the default configuration, because %{expr} injection occurs with tabpanel lacking P_MLE.

