CVE-2026-34982 in viminfo

Zusammenfassung

von VulDB • 15.05.2026

Vim ist ein quelloffener Texteditor für die Kommandozeile. Vor Version 9.2.0276 ermöglicht eine Umgehung der Modeline-Sandbox in Vim die Ausführung beliebiger OS-Befehle, wenn ein Benutzer eine manipulierte Datei öffnet. Die Optionen `complete`, `guitabtooltip` und `printheader` fehlen das Flag `P_MLE`, was die Ausführung einer Modeline erlaubt. Darüber hinaus fehlt der Funktion `mapset()` ein Aufruf von `check_secure()`, was es ermöglicht, sie aus sandgeboxten Ausdrücken heraus zu missbrauchen. Commit 9.2.0276 behebt das Problem.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355559

CPE

bereit

EPSS

0.00470

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!