Katalog CVE

CVE-2026-57453

Średnie
Opublikowano: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

W Vimie od wersji 9.1.1784 do 9.2.0678, wbudowany plugin zip (autoload/zip.vim) podczas korzystania z PowerShell do przeglądania, odczytu, wyodrębniania, aktualizacji lub usuwania wpisów w archiwum zip, buduje polecenie PowerShell, w którym nazwy wpisów archiwum są cytowane tylko dla powłoki, a nie dla PowerShell. Specjalnie spreparowana nazwa wpisu może wyrwać się z zamierzonego kontekstu ciągu znaków i spowodować wykonanie dowolnych poleceń PowerShell z uprawnieniami użytkownika uruchamiającego Vima, co jest wyzwalane przez otwarcie, wyświetlenie lub wyodrębnienie archiwum.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu na komputerze ofiary, jeśli ta otworzy lub wyodrębni spreparowane archiwum zip w Vimie, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS