Vim — текстовый редактор командной строки с открытым исходным кодом. До версии 9.2.0073 уязвимость, связанная с внедрением команд ОС, существовала в стандартном плагине `netrw`, поставляемом в комплекте с Vim. Побуждая пользователя открыть созданный URL-адрес (например, используя обработчик протокола `scp://`), злоумышленник может выполнять произвольные команды оболочки с привилегиями процесса Vim.
Версия 9.2.0073 устраняет проблему.
Показать оригинальное описание (EN)
Vim is an open source, command line text editor. Prior to version 9.2.0073, an OS command injection vulnerability exists in the `netrw` standard plugin bundled with Vim. By inducing a user to open a crafted URL (e.g., using the `scp://` protocol handler), an attacker can execute arbitrary shell commands with the privileges of the Vim process. Version 9.2.0073 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1