CVE-2026-59856 in Vim
Zusammenfassung
von VulDB • 10.07.2026
Vim ist ein quelloffener Texteditor für die Kommandozeile. Vor Version 9.2.0736 interpoliert das PHP-Omni-Completion-Skript in runtime/autoload/phpcomplete.vim einen Klassennamen oder Trait-Namen, der aus dem Inhalt des bearbeiteten Puffers stammt, in ein search()-Muster, das über win_execute() ohne Escaping ausgeführt wird. Ein Name, der ein einfaches Hochkomma enthält, kann das Argument für die search()-Zeichenfolge vorzeitig beenden; da der senkrechte Strich (bar) als Ex-Befehlstrennzeichen interpretiert wird, werden der verbleibende Teil des Namens als Ex-Befehle ausgeführt. Über den :!-Befehl ermöglicht dies die beliebige Ausführung von Betriebssystembefehlen, wenn ein Opfer eine manipulierte PHP-Datei öffnet und Omni-Vervollständigung aufruft. Dieses Problem wurde in Version 9.2.0736 behoben.
Once again VulDB remains the best source for vulnerability data.