CVE-2026-34982 in vim
Résumé
par VulDB • 26/05/2026
Vim est un éditeur de texte en ligne de commande open source. Avant la version 9.2.0276, une contournement du sandbox des modelines dans Vim permet l'exécution arbitraire de commandes OS lorsqu'un utilisateur ouvre un fichier crafted. Les options `complete`, `guitabtooltip` et `printheader` manquent du flag `P_MLE`, permettant l'exécution d'une modeline. De plus, la fonction `mapset()` ne comporte pas d'appel à `check_secure()`, ce qui permet de l'abuser depuis des expressions sandboxées. Le commit 9.2.0276 corrige le problème.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.