PT-2026-41308 · Vim+2 · Vim+2

Publicado

2026-05-15

·

Atualizado

2026-06-23

·

CVE-2026-46483

CVSS v3.1

7.0

Alta

VetorAV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Vim versões anteriores a 9.2.0479
Descrição Um problema de injeção de comando existe na função tar#Vimuntar() em runtime/autoload/tar.vim ao descompactar arquivos .tgz em sistemas do tipo Unix. A função constrói os comandos :!gunzip e :!gzip -d usando shellescape(tartail) sem a flag {special}. Isso permite que um nome de arquivo de arquivo especialmente criado acione a expansão de caracteres especiais da linha de comando do Vim, levando à execução de comandos de shell arbitrários no contexto do usuário.
Recomendações Atualize para a versão 9.2.0479.

Correção

OS Command Injection

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CLSA-2026-1780388996
CVE-2026-46483
ECHO-F203-4098-3FCC
OESA-2026-2472
OESA-2026-2473
OESA-2026-2474
OESA-2026-2475
OESA-2026-2476
OPENSUSE-SU-2026:11114-1
SUSE-SU-2026:2313-1
USN-8415-1

Produtos afetados

Linuxmint
Ubuntu
Vim