CVE-2026-59856 in Vim
요약
\~에 의해 VulDB • 2026. 07. 10.
Vim은 오픈 소스 명령줄 텍스트 편집기입니다. 버전 9.2.0736 이전의 runtime/autoload/phpcomplete.vim에 있는 PHP 자동 완성 스크립트는 편집 중인 버퍼 내용에서 가져온 클래스 또는 트레이트 이름을 이스케이프 처리 없이 win_execute()를 통해 실행되는 search() 패턴으로 보간합니다. 작은따옴표가 포함된 이름은 search() 문자열 인수를 조기에 종료시킬 수 있으며, 바(bar)는 Ex 명령 구분자로 인식되므로 나머지 이름이 Ex 명령으로 실행됩니다. 이를 통해 :! 명령을 사용하여 사용자가 악의적으로 제작된 PHP 파일을 열고 자동 완성을 호출할 때 임의의 운영 체제 명령이 실행될 수 있습니다. 이 문제는 버전 9.2.0736에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.