Katalog CVE

CVE-2026-57456

Wysokie
Opublikowano: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

W Vimie przed wersją 9.2.0699 funkcja autouzupełniania Python (omni-completion) wykonuje zrekonstruowane definicje funkcji i klas z bieżącego bufora za pomocą exec(). Podczas rekonstrukcji kodu, docstring każdego zakresu jest wstawiany dosłownie między potrójnymi cudzysłowami bez żadnego escapowania, co pozwala złośliwemu buforowi na wyrwanie się z literału potrójnie cytowanego i wykonanie kodu Python kontrolowanego przez atakującego podczas autouzupełniania.

Ocena ryzyka

Atakujący może wstrzyknąć i wykonać dowolny kod Python w kontekście edytora Vim, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS