PT-2026-22416 · Vim+4 · Vim+5

Ehdgks0627

Publicado

2026-02-27

Atualizado

2026-05-24

CVE-2026-28417

CVSS v3.1

7.8

Alta

Vetor

AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Versões do Vim anteriores à 9.2.0073

Descrição O Vim é um editor de texto de linha de comando. Existe uma falha no plugin padrão netrw incluído no Vim. Um atacante pode potencialmente executar comandos de shell arbitrários com os privilégios do processo do Vim ao induzir um usuário a abrir uma URL especialmente criada, como uma que utiliza o manipulador de protocolo scp://. O plugin netrw é vulnerável à injeção de comandos do sistema operacional.

Recomendações Versões anteriores à 9.2.0073 devem ser atualizadas para a versão 9.2.0073 ou posterior.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-86CWE-78

Identificadores relacionados

ALSA-2026:6915

ALSA-2026:7711

ALSA-2026:8259

AZL-78497

BDU:2026-02589

CVE-2026-28417

ECHO-180E-0061-390D

GHSA-M3XH-9434-G336

MGASA-2026-0049

OESA-2026-1565

OPENSUSE-SU-2026:20403-1

RHSA-2026:6502

RHSA-2026:6539

RHSA-2026:6540

RHSA-2026:6617

RHSA-2026:6619

RHSA-2026:6620

RHSA-2026:6729

RHSA-2026:6730

RHSA-2026:6731

RHSA-2026:6736

RHSA-2026:6915

RHSA-2026:7711

RHSA-2026:8259

SUSE-SU-2026:0910-1

SUSE-SU-2026:1051-1

SUSE-SU-2026:1095-1

SUSE-SU-2026:20732-1

SUSE-SU-2026:20738-1

SUSE-SU-2026:20759-1

SUSE-SU-2026:20916-1

USN-8101-1

Produtos afetados

Linuxmint

Red Os

Rocky Linux

Ubuntu

Vim

Netrw

PT-2026-22416 · Vim+4 · Vim+5

CVE-2026-28417

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 103