Katalog CVE
CVE-2026-57456
WysokieOpublikowano: —NVD NIST
Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.14%
Percentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W Vimie przed wersją 9.2.0699 funkcja autouzupełniania Python (omni-completion) wykonuje zrekonstruowane definicje funkcji i klas z bieżącego bufora za pomocą exec(). Podczas rekonstrukcji kodu, docstring każdego zakresu jest wstawiany dosłownie między potrójnymi cudzysłowami bez żadnego escapowania, co pozwala złośliwemu buforowi na wyrwanie się z literału potrójnie cytowanego i wykonanie kodu Python kontrolowanego przez atakującego podczas autouzupełniania.
Ocena ryzyka
Atakujący może wstrzyknąć i wykonać dowolny kod Python w kontekście edytora Vim, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

