Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03299

Опубликовано: 18 фев. 2025
Источник: fstec
CVSS3: 4.2
CVSS2: 3.5
EPSS Низкий

Описание

Уязвимость функции ex_display() текстового редактора vim связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные автокоманды

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
РЕД ОС
Альт 8 СП
АЛЬТ СП 10
vim
ОСОН ОСнова Оnyx

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
- (АЛЬТ СП 10)
до 9.1.1115 (vim)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/vim/vim/commit/c0f0e2380e5954f4a52a131bf6b8
https://github.com/vim/vim/security/advisories/GHSA-63p5-mwg2-787v
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-vim-common-cve-2025-1215-cve-2025-26603/?sphrase_id=806519
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-26603
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Обновление программного обеспечения vim до версии 2:9.1.1230-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00021
Низкий

4.2 Medium

CVSS3

3.5 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-26603

CVSS3: 4.2
ubuntu
4 месяца назад

Vim is a greatly improved version of the good old UNIX editor Vi. Vim allows to redirect screen messages using the `:redir` ex command to register, variables and files. It also allows to show the contents of registers using the `:registers` or `:display` ex command. When redirecting the output of `:display` to a register, Vim will free the register content before storing the new content in the register. Now when redirecting the `:display` command to a register that is being displayed, Vim will free the content while shortly afterwards trying to access it, which leads to a use-after-free. Vim pre 9.1.1115 checks in the ex_display() function, that it does not try to redirect to a register while displaying this register at the same time. However this check is not complete, and so Vim does not check the `+` and `*` registers (which typically donate the X11/clipboard registers, and when a clipboard connection is not possible will fall back to use register 0 instead. In Patch 9.1.1115 Vim...

redhat логотип

CVE-2025-26603

CVSS3: 4.2
redhat
4 месяца назад

Vim is a greatly improved version of the good old UNIX editor Vi. Vim allows to redirect screen messages using the `:redir` ex command to register, variables and files. It also allows to show the contents of registers using the `:registers` or `:display` ex command. When redirecting the output of `:display` to a register, Vim will free the register content before storing the new content in the register. Now when redirecting the `:display` command to a register that is being displayed, Vim will free the content while shortly afterwards trying to access it, which leads to a use-after-free. Vim pre 9.1.1115 checks in the ex_display() function, that it does not try to redirect to a register while displaying this register at the same time. However this check is not complete, and so Vim does not check the `+` and `*` registers (which typically donate the X11/clipboard registers, and when a clipboard connection is not possible will fall back to use register 0 instead. In Patch 9.1.1115 Vim...

nvd логотип

CVE-2025-26603

CVSS3: 4.2
nvd
4 месяца назад

Vim is a greatly improved version of the good old UNIX editor Vi. Vim allows to redirect screen messages using the `:redir` ex command to register, variables and files. It also allows to show the contents of registers using the `:registers` or `:display` ex command. When redirecting the output of `:display` to a register, Vim will free the register content before storing the new content in the register. Now when redirecting the `:display` command to a register that is being displayed, Vim will free the content while shortly afterwards trying to access it, which leads to a use-after-free. Vim pre 9.1.1115 checks in the ex_display() function, that it does not try to redirect to a register while displaying this register at the same time. However this check is not complete, and so Vim does not check the `+` and `*` registers (which typically donate the X11/clipboard registers, and when a clipboard connection is not possible will fall back to use register 0 instead. In Patch 9.1.1115 Vim wi

msrc логотип

CVE-2025-26603

CVSS3: 4.2
msrc
4 месяца назад

Описание отсутствует

debian логотип

CVE-2025-26603

CVSS3: 4.2
debian
4 месяца назад

Vim is a greatly improved version of the good old UNIX editor Vi. Vim ...

EPSS

Процентиль: 4%
0.00021
Низкий

4.2 Medium

CVSS3

3.5 Low

CVSS2