vim до 9.0.0805 autocmd quickfix.c qf_update_buffer повреждение памяти

В проблемные обнаружена уязвимость, классифицированная как vim. Затронута функция qf_update_buffer файла quickfix.c компонента autocmd Handler. Использование CWE для объявления проблемы приводит к тому, что CWE-416. Консультация доступна для скачивания по адресу github.com. Эта уязвимость обрабатывается как CVE-2022-3705. Атаку можно осуществить удаленно. Имеются технические подробности. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Объявляется Не определено. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. Обновление до версии 9.0.0805 способно решить эту проблему. Название патча следующее d0fab10ed2a86698937e3c3fed2f10bd9bb5e731. Исправление готово для загрузки по адресу github.com. Рекомендуется обновить затронутый компонент.

Поле26.10.2022 20:4425.11.2022 14:5825.11.2022 15:02
namevimvimvim
componentautocmd Handlerautocmd Handlerautocmd Handler
filequickfix.cquickfix.cquickfix.c
functionqf_update_bufferqf_update_bufferqf_update_buffer
cwe416 (повреждение памяти)416 (повреждение памяти)416 (повреждение памяти)
risk111
cvss3_vuldb_avNNN
cvss3_vuldb_acHHH
cvss3_vuldb_prNNN
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_vuldb_rlOOO
cvss3_vuldb_rcCCC
identifierd0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
urlhttps://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
nameОбновлениеОбновлениеОбновление
upgrade_version9.0.08059.0.08059.0.0805
patch_named0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
patch_urlhttps://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731https://github.com/vim/vim/commit/d0fab10ed2a86698937e3c3fed2f10bd9bb5e731
cveCVE-2022-3705CVE-2022-3705CVE-2022-3705
responsibleVulDBVulDBVulDB
date1666735200 (26.10.2022)1666735200 (26.10.2022)1666735200 (26.10.2022)
typeWord Processing SoftwareWord Processing SoftwareWord Processing Software
cvss2_vuldb_avNNN
cvss2_vuldb_acHHH
cvss2_vuldb_auNNN
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_rcCCC
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_eNDNDND
cvss3_vuldb_eXXX
cvss2_vuldb_basescore5.15.15.1
cvss2_vuldb_tempscore4.44.44.4
cvss3_vuldb_basescore5.05.05.0
cvss3_vuldb_tempscore4.84.84.8
cvss3_meta_basescore5.05.05.8
cvss3_meta_tempscore4.84.85.8
price_0day$0-$5k$0-$5k$0-$5k
cve_assigned1666735200 (26.10.2022)1666735200 (26.10.2022)
cve_nvd_summaryA vulnerability was found in vim and classified as problematic. Affected by this issue is the function qf_update_buffer of the file quickfix.c of the component autocmd Handler. The manipulation leads to use after free. The attack may be launched remotely. Upgrading to version 9.0.0805 is able to address this issue. The name of the patch is d0fab10ed2a86698937e3c3fed2f10bd9bb5e731. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-212324.A vulnerability was found in vim and classified as problematic. Affected by this issue is the function qf_update_buffer of the file quickfix.c of the component autocmd Handler. The manipulation leads to use after free. The attack may be launched remotely. Upgrading to version 9.0.0805 is able to address this issue. The name of the patch is d0fab10ed2a86698937e3c3fed2f10bd9bb5e731. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-212324.
cvss3_nvd_avN
cvss3_nvd_acH
cvss3_nvd_prN
cvss3_nvd_uiR
cvss3_nvd_sU
cvss3_nvd_cH
cvss3_nvd_iH
cvss3_nvd_aH
cvss3_cna_avN
cvss3_cna_acH
cvss3_cna_prN
cvss3_cna_uiR
cvss3_cna_sU
cvss3_cna_cL
cvss3_cna_iL
cvss3_cna_aL
cve_cnaVulDB
cvss3_nvd_basescore7.5
cvss3_cna_basescore5.0

ПредыдущийОбзорДалее

Interested in the pricing of exploits?

See the underground prices here!