BDU:2025-06069

Опубликовано: 02 мар. 2025

Источник: fstec

CVSS3: 7.1

CVSS2: 6.6

EPSS Низкий

Описание

Уязвимость плагина tar.vim текстового редактора vim связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданных tar-файлов

Вендор

Novell Inc.

ООО «Ред Софт»

Сообщество свободного программного обеспечения

Наименование ПО

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

OpenSUSE Leap

Suse Linux Enterprise Server

РЕД ОС

openSUSE Leap Micro

vim

Версия ПО

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15.5 (OpenSUSE Leap)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

11 SP3 LTSS (Suse Linux Enterprise Server)

11 SP4 (Suse Linux Enterprise Server)

12 SP2 LTSS (Suse Linux Enterprise Server)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

11 SP4-LTSS (Suse Linux Enterprise Server)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Desktop)

11 SP2-LTSS (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Server)

11 SP2 (Suse Linux Enterprise Desktop)

11 SP4 (Suse Linux Enterprise Desktop)

11 SP2 (Suse Linux Enterprise Server)

11 SP3 (Suse Linux Enterprise Server)

12 (Suse Linux Enterprise Desktop)

12 SP4-ESPOS (Suse Linux Enterprise Server)

12 SP4-LTSS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

11 SP3 (Suse Linux Enterprise Desktop)

15 SP1 (Suse Linux Enterprise Server)

12 (Suse Linux Enterprise Server)

15 SP2 LTSS (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

15.4 (OpenSUSE Leap)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Server)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (Suse Linux Enterprise Desktop)

5.2 (openSUSE Leap Micro)

5.3 (openSUSE Leap Micro)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

5.4 (openSUSE Leap Micro)

5.5 (openSUSE Leap Micro)

15 SP4-LTSS (Suse Linux Enterprise Server)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15.6 (OpenSUSE Leap)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

15 SP5-LTSS (Suse Linux Enterprise Server)

до 9.1.1164 (vim)

15 SP7 (Suse Linux Enterprise Desktop)

15 SP7 (Suse Linux Enterprise Server)

15 SP7 (SUSE Linux Enterprise Server for SAP Applications)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для vim:

https://github.com/vim/vim/security/advisories/GHSA-wfmf-8626-q3r3

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-vim-common-cve-2025-29768-cve-2025-27423/?sphrase_id=966100

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2025-27423.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-27423
CVE

EPSS

Процентиль: 32%

0.00122

Низкий

7.1 High

CVSS3

6.6 Medium

CVSS2

Связанные уязвимости

CVE-2025-27423

CVSS3: 7.1

ubuntu

4 месяца назад

Vim is an open source, command line text editor. Vim is distributed with the tar.vim plugin, that allows easy editing and viewing of (compressed or uncompressed) tar files. Starting with 9.1.0858, the tar.vim plugin uses the ":read" ex command line to append below the cursor position, however the is not sanitized and is taken literally from the tar archive. This allows to execute shell commands via special crafted tar archives. Whether this really happens, depends on the shell being used ('shell' option, which is set using $SHELL). The issue has been fixed as of Vim patch v9.1.1164

CVE-2025-27423

CVSS3: 6.1

redhat

4 месяца назад

CVE-2025-27423

CVSS3: 7.1

nvd

4 месяца назад

CVE-2025-27423

CVSS3: 7.1

msrc

3 месяца назад

Описание отсутствует

CVE-2025-27423

CVSS3: 7.1

debian

4 месяца назад

Vim is an open source, command line text editor. Vim is distributed wi ...

EPSS

Процентиль: 32%

0.00122

Низкий

7.1 High

CVSS3

6.6 Medium

CVSS2