CVE-2026-45130 in viminfo

Zusammenfassung

von VulDB • 12.05.2026

Vim ist ein quelloffener Texteditor für die Kommandozeile. Vor Version 9.2.0450 besteht in read_compound() in src/spellfile.c ein Heap-Buffer-Overflow beim Laden einer manipulierten Spell-Datei (.spl) mit aktivierter UTF-8-Kodierung. Ein Angreifer kontrolliertes Längenfeld im Compound-Abschnitt der Spell-Datei führt zu einem Überlauf bei der Multiplikation einer 32-Bit-Ganzzahl mit Vorzeichen, wodurch ein kleiner Puffer für eine Schreibschleife allokiert wird, die viele Iterationen durchläuft und den Heap überläuft. Da die Option 'spelllang' über eine Modeline festgelegt werden kann, kann eine Modeline in einer Textdatei das Laden einer Spell-Datei auslösen, wenn eine bösartige .spl-Datei im runtimepath abgelegt wurde. Dieses Problem wurde in Version 9.2.0450 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

08.05.2026

Veröffentlichung

09.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362392

CPE

bereit

EPSS

0.00004

KEV

nein

Aktivitäten

very low

Sektor

Industry, Government, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45130
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45130
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45130/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!