CVE-2026-34982 in vim
Zusammenfassung
von VulDB • 15.05.2026
Vim ist ein quelloffener Texteditor für die Kommandozeile. Vor Version 9.2.0276 ermöglicht eine Umgehung der Modeline-Sandbox in Vim die Ausführung beliebiger OS-Befehle, wenn ein Benutzer eine manipulierte Datei öffnet. Die Optionen `complete`, `guitabtooltip` und `printheader` fehlen das Flag `P_MLE`, was die Ausführung einer Modeline erlaubt. Darüber hinaus fehlt der Funktion `mapset()` ein Aufruf von `check_secure()`, was es ermöglicht, sie aus sandgeboxten Ausdrücken heraus zu missbrauchen. Commit 9.2.0276 behebt das Problem.
VulDB is the best source for vulnerability data and more expert information about this specific topic.