Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-02589

Опубликовано: 27 фев. 2026
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость текстового редактора vim связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

vim

Версия ПО

до 9.2.0073 (vim)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
http://www.openwall.com/lists/oss-security/2026/02/27/6
https://github.com/vim/vim/commit/79348dbbc09332130f4c860
https://github.com/vim/vim/releases/tag/v9.2.0073
https://github.com/vim/vim/security/advisories/GHSA-m3xh-9434-g336

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00013
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-28417

CVSS3: 4.4
ubuntu
27 дней назад

Vim is an open source, command line text editor. Prior to version 9.2.0073, an OS command injection vulnerability exists in the `netrw` standard plugin bundled with Vim. By inducing a user to open a crafted URL (e.g., using the `scp://` protocol handler), an attacker can execute arbitrary shell commands with the privileges of the Vim process. Version 9.2.0073 fixes the issue.

redhat логотип

CVE-2026-28417

CVSS3: 4.4
redhat
27 дней назад

Vim is an open source, command line text editor. Prior to version 9.2.0073, an OS command injection vulnerability exists in the `netrw` standard plugin bundled with Vim. By inducing a user to open a crafted URL (e.g., using the `scp://` protocol handler), an attacker can execute arbitrary shell commands with the privileges of the Vim process. Version 9.2.0073 fixes the issue.

nvd логотип

CVE-2026-28417

CVSS3: 4.4
nvd
27 дней назад

Vim is an open source, command line text editor. Prior to version 9.2.0073, an OS command injection vulnerability exists in the `netrw` standard plugin bundled with Vim. By inducing a user to open a crafted URL (e.g., using the `scp://` protocol handler), an attacker can execute arbitrary shell commands with the privileges of the Vim process. Version 9.2.0073 fixes the issue.

msrc логотип

CVE-2026-28417

CVSS3: 4.4
msrc
26 дней назад

Vim has OS Command Injection in netrw

debian логотип

CVE-2026-28417

CVSS3: 4.4
debian
27 дней назад

Vim is an open source, command line text editor. Prior to version 9.2. ...

EPSS

Процентиль: 2%
0.00013
Низкий

7.8 High

CVSS3

7.2 High

CVSS2