CVE-2026-47167

Nome do Software Vulnerável e Versões Afetadas Vim versões anteriores a 9.2.0496

Descrição Um problema de injeção de código existe na função s:stepmatch() dentro do plugin de tipo de arquivo cucumber (runtime/ftplugin/cucumber.vim) para builds com suporte +ruby. Padrões de definição de etapa lidos de arquivos .rb nos diretórios features/*/ ou stories/*/ são incorporados em um argumento Kernel.eval do Ruby sem a sanitização adequada. Isso permite que um padrão malicioso em um repositório controlado por um invasor execute código Ruby e comandos de shell arbitrários quando o usuário invoca um mapeamento de salto de etapa ([d, ]d).

Recomendações Atualize para a versão 9.2.0496.