PT-2022-7594 · Vim+4 · Vim+4

Brammool

·

Publicado

2022-11-24

·

Atualizado

2025-03-30

·

CVE-2022-4141

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do vim 9.0.0946 e anteriores
Descrição
A vulnerabilidade está relacionada a um estouro de buffer baseado em heap no editor de texto vim, que pode ser explorado por um invasor para obter acesso a dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. Isso pode ocorrer quando um invasor usa CTRL-W gf na expressão utilizada no lado direito (RHS) do comando substitute. A exploração desse problema pode resultar em corrupção da pilha, incluindo estouros de buffer e situações de uso após liberação (use-after-free), que geralmente são consideradas exploráveis.
Recomendações
Para as versões 9.0.0946 e anteriores do vim, considere desativar o comando substitute ou restringir o uso de CTRL-W gf na expressão utilizada no lado direito (RHS) do comando substitute como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Memory Corruption

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-122

Identificadores relacionados

ALT-PU-2022-3261
ALT-PU-2022-3301
ALT-PU-2022-3344
AZL-11504
BDU:2024-07352
CVE-2022-4141
DLA-3453-1
DLA-4097-1
MGASA-2022-0464
OESA-2022-2135
OPENSUSE-SU-2022_4631-1
SUSE-SU-2022:4631-1
SUSE-SU-2023:0209-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Suse
Vim