Katalog CVE

CVE-2026-57452

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w edytorze Vim przed wersją 9.2.0671 dotyczy otwierania plików zaszyfrowanych metodami VimCrypt~04! lub VimCrypt~05! (xchacha20poly1305, wymagana funkcja +sodium). Gdy treść pliku jest krótsza niż pojedynczy nagłówek strumienia secretstream libsodium, dochodzi do niedomiaru długości bez znaku, a następnie wywołanie deszyfrowania odczytuje dane daleko poza buforem wejściowym, powodując awarię Vima.

Ocena ryzyka

Atakujący może spowodować awarię edytora Vim poprzez dostarczenie specjalnie spreparowanego, krótkiego pliku zaszyfrowanego, co prowadzi do odmowy usługi (DoS) dla użytkownika próbującego go otworzyć.

Rekomendacja

Należy niezwłocznie zaktualizować Vima do wersji 9.2.0671 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Vim is an open source, command line text editor. Prior to 9.2.0671, when Vim opens a file encrypted with the VimCrypt~04! or VimCrypt~05! method (xchacha20poly1305, requires the +sodium feature) whose body is shorter than a single libsodium secretstream header, an unsigned length calculation underflows and a subsequent decryption call reads far past the end of the input buffer, crashing Vim. This vulnerability is fixed in 9.2.0671.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS