CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-57453

Medium
Published: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.14%

3th percentile — higher than 3% of all known CVEs

Summary

W Vimie od wersji 9.1.1784 do 9.2.0678, wbudowany plugin zip (autoload/zip.vim) podczas korzystania z PowerShell do przeglądania, odczytu, wyodrębniania, aktualizacji lub usuwania wpisów w archiwum zip, buduje polecenie PowerShell, w którym nazwy wpisów archiwum są cytowane tylko dla powłoki, a nie dla PowerShell. Specjalnie spreparowana nazwa wpisu może wyrwać się z zamierzonego kontekstu ciągu znaków i spowodować wykonanie dowolnych poleceń PowerShell z uprawnieniami użytkownika uruchamiającego Vima, co jest wyzwalane przez otwarcie, wyświetlenie lub wyodrębnienie archiwum.

Risk Assessment

Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu na komputerze ofiary, jeśli ta otworzy lub wyodrębni spreparowane archiwum zip w Vimie, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Recommendation

Vulnerability data from NVD (NIST) · CISA KEV · EPSS