PT-2026-48721 · Vim · Vim
Tonghuaroot
·
Publicado
2026-06-11
·
Atualizado
2026-06-15
·
CVE-2026-52858
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Vim versões anteriores a 9.2.0561
Descrição
O script de omni-completion do Python em
python3complete.vim (para builds com o interpretador +python3 habilitado) e pythoncomplete.vim (para builds com o interpretador +python) executa instruções import e from encontradas no buffer atual através do mecanismo de importação do Python. Como o diretório de trabalho do buffer está no sys.path, a abertura de um arquivo .py malicioso com um pacote Python adjacente e a invocação do omni-completion executa o código de nível superior desse pacote com os privilégios do usuário que está editando o arquivo.Recomendações
Atualize para a versão 9.2.0561.
Correção
Eval Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vim