CVE-2026-52858
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Vim przed wersją 9.2.0561 ma problem z bezpieczeństwem związany z wykonywaniem kodu z złośliwych plików .py podczas korzystania z funkcji automatycznego uzupełniania w Pythonie. W wyniku tego, złośliwy kod może być uruchamiany w kontekście użytkownika edytującego.
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do nieautoryzowanego dostępu do systemów lub danych. Użytkownicy mogą przypadkowo uruchomić niebezpieczny kod, co zwiększa ryzyko ataków.
Rekomendacja
Zaleca się aktualizację Vim do wersji 9.2.0561 lub nowszej, aby usunąć tę podatność. Należy również unikać otwierania nieznanych lub podejrzanych plików .py w edytorze.
Oryginalny opis (angielski, źródło NVD)
Vim is an open source, command line text editor. Prior to version 9.2.0561, the Python omni-completion script in python3complete.vim for Vim with the +python3 interpreter enabled (and the legacy pythoncomplete.vim for builds with the +python interpreter) executes the import and from statements found in the current buffer through Python's import machinery. Because the buffer's working directory is on sys.path, opening a hostile .py file with a sibling Python package and invoking omni-completion runs that package's top-level code as the editing user. This issue has been patched in version 9.2.0561.

