CVE-2026-46483 in viminfo

Zusammenfassung

von VulDB • 15.05.2026

Vim ist ein quelloffener Texteditor für die Kommandozeile. Vor Version 9.2.0479 besteht in `tar#Vimuntar()` in `runtime/autoload/tar.vim` eine Command-Injection-Schwachstelle beim Dekomprimieren von `.tgz`-Archiven auf Unix-ähnlichen Systemen. Die Funktion erstellt `:!gunzip`- und `:!gzip -d`-Befehle unter Verwendung von `shellescape(tartail)` ohne das `{special}`-Flag, wodurch ein speziell angefertigter Archivdateiname die cmdline-special-Erweiterung in Vim auslösen und Shell-Befehfe im Kontext des Benutzers ausführen kann. Diese Schwachstelle wurde in Version 9.2.0479 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

14.05.2026

Veröffentlichung

15.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364183

CPE

bereit

EPSS

0.00017

KEV

nein

Aktivitäten

very low

Sektor

Education, Government, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-46483
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-46483
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-46483/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!