vim vor 9.0.0805 autocmd quickfix.c qf_update_buffer Pufferüberlauf

Eine Schwachstelle wurde in vim gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um die Funktion qf_update_buffer der Datei quickfix.c der Komponente autocmd Handler. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-416. Der Fehler wurde am 26.10.2022 als d0fab10ed2a86698937e3c3fed2f10bd9bb5e731 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2022-3705 statt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Er gilt als nicht definiert. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Ein Aktualisieren auf die Version 9.0.0805 vermag dieses Problem zu lösen. Der Patch wird als d0fab10ed2a86698937e3c3fed2f10bd9bb5e731 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Feld26.10.2022 20:4425.11.2022 14:5825.11.2022 15:02
namevimvimvim
componentautocmd Handlerautocmd Handlerautocmd Handler
filequickfix.cquickfix.cquickfix.c
functionqf_update_bufferqf_update_bufferqf_update_buffer
cwe416 (Pufferüberlauf)416 (Pufferüberlauf)416 (Pufferüberlauf)
risk111
cvss3_vuldb_avNNN
cvss3_vuldb_acHHH
cvss3_vuldb_prNNN
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_vuldb_rlOOO
cvss3_vuldb_rcCCC
identifierd0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
urlhttps://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
nameUpgradeUpgradeUpgrade
upgrade_version9.0.08059.0.08059.0.0805
patch_named0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
patch_urlhttps://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
cveCVE-2022-3705CVE-2022-3705CVE-2022-3705
responsibleVulDBVulDBVulDB
date1666735200 (26.10.2022)1666735200 (26.10.2022)1666735200 (26.10.2022)
typeWord Processing SoftwareWord Processing SoftwareWord Processing Software
cvss2_vuldb_avNNN
cvss2_vuldb_acHHH
cvss2_vuldb_auNNN
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_rcCCC
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_eNDNDND
cvss3_vuldb_eXXX
cvss2_vuldb_basescore5.15.15.1
cvss2_vuldb_tempscore4.44.44.4
cvss3_vuldb_basescore5.05.05.0
cvss3_vuldb_tempscore4.84.84.8
cvss3_meta_basescore5.05.05.8
cvss3_meta_tempscore4.84.85.8
price_0day$0-$5k$0-$5k$0-$5k
cve_assigned1666735200 (26.10.2022)1666735200 (26.10.2022)
cve_nvd_summaryA vulnerability was found in vim and classified as problematic. Affected by this issue is the function qf_update_buffer of the file quickfix.c of the component autocmd Handler. The manipulation leads to use after free. The attack may be launched remotely. Upgrading to version 9.0.0805 is able to address this issue. The name of the patch is d0fab10ed2a86698937e3c3fed2f10bd9bb5e731. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-212324.A vulnerability was found in vim and classified as problematic. Affected by this issue is the function qf_update_buffer of the file quickfix.c of the component autocmd Handler. The manipulation leads to use after free. The attack may be launched remotely. Upgrading to version 9.0.0805 is able to address this issue. The name of the patch is d0fab10ed2a86698937e3c3fed2f10bd9bb5e731. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-212324.
cvss3_nvd_avN
cvss3_nvd_acH
cvss3_nvd_prN
cvss3_nvd_uiR
cvss3_nvd_sU
cvss3_nvd_cH
cvss3_nvd_iH
cvss3_nvd_aH
cvss3_cna_avN
cvss3_cna_acH
cvss3_cna_prN
cvss3_cna_uiR
cvss3_cna_sU
cvss3_cna_cL
cvss3_cna_iL
cvss3_cna_aL
cve_cnaVulDB
cvss3_nvd_basescore7.5
cvss3_cna_basescore5.0

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!