Katalog CVE

CVE-2026-55895

Wysokie
Opublikowano: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

W Vimie przed wersją 9.2.0663 wykryto podatność na wstrzykiwanie kodu Vimscript w funkcji s:NetrwLocalRmFile() wtyczki netrw. Nazwa pliku pochodząca z listowania katalogu jest interpolowana do linii poleceń Ex przekazywanej do :execute z ucieczką tylko znaku backslasha, co pozwala na użycie znaku pionowej kreski (|) w nazwie pliku do zakończenia zamierzonego polecenia i wykonania dowolnego kodu Vimscript, w tym poleceń powłoki przez :call system() i :!.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu w kontekście użytkownika Vima, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS