Katalog CVE

CVE-2026-52858

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Vim przed wersją 9.2.0561 ma problem z bezpieczeństwem związany z wykonywaniem kodu z złośliwych plików .py podczas korzystania z funkcji automatycznego uzupełniania w Pythonie. W wyniku tego, złośliwy kod może być uruchamiany w kontekście użytkownika edytującego.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do nieautoryzowanego dostępu do systemów lub danych. Użytkownicy mogą przypadkowo uruchomić niebezpieczny kod, co zwiększa ryzyko ataków.

Rekomendacja

Zaleca się aktualizację Vim do wersji 9.2.0561 lub nowszej, aby usunąć tę podatność. Należy również unikać otwierania nieznanych lub podejrzanych plików .py w edytorze.

Oryginalny opis (angielski, źródło NVD)

Vim is an open source, command line text editor. Prior to version 9.2.0561, the Python omni-completion script in python3complete.vim for Vim with the +python3 interpreter enabled (and the legacy pythoncomplete.vim for builds with the +python interpreter) executes the import and from statements found in the current buffer through Python's import machinery. Because the buffer's working directory is on sys.path, opening a hostile .py file with a sibling Python package and invoking omni-completion runs that package's top-level code as the editing user. This issue has been patched in version 9.2.0561.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS