Vim — текстовый редактор командной строки с открытым исходным кодом. До версии 9.2.0202 в функции Vim glob() в Unix-подобных системах существовала уязвимость, связанная с внедрением команд. Включив символ новой строки (\n) в шаблон, передаваемый в glob(), злоумышленник может выполнить произвольные команды оболочки.
Эта уязвимость зависит от настроек оболочки пользователя. Эта проблема исправлена в версии 9.2.0202.
Показать оригинальное описание (EN)
Vim is an open source, command line text editor. Prior to version 9.2.0202, a command injection vulnerability exists in Vim's glob() function on Unix-like systems. By including a newline character (\n) in a pattern passed to glob(), an attacker may be able to execute arbitrary shell commands. This vulnerability depends on the user's 'shell' setting. This issue has been patched in version 9.2.0202.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vim Vim
cpe:2.3:a:vim:vim:*:*:*:*:*:*:*:*
|
— |
9.2.0202
|