VDB-316541 · CVE-2025-53906 · GHSA-r2fw-9cw4-mj86

vim đến 9.1.1550 ZIP duyệt thư mục

CVSS Điểm tạm thời meta	Giá khai thác hiện tại (≈)	Điểm quan tâm CTI
4.5	$0-$5k	0.00

Tóm tắtthông tin

Một điểm yếu phân loại là nghiêm trọng đã xuất hiện trong vim đến 9.1.1550. Trường hợp bị ảnh hưởng là một hàm chưa rõ của thành phần ZIP Handler. Việc thao tác dẫn đến duyệt thư mục. Lỗ hổng này được biết đến với tên CVE-2025-53906. Có khả năng tiến hành cuộc tấn công từ xa. Chưa phát hiện mã khai thác nào. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.

Chi tiếtthông tin

Một điểm yếu phân loại là nghiêm trọng đã xuất hiện trong vim đến 9.1.1550. Trường hợp bị ảnh hưởng là một hàm chưa rõ của thành phần ZIP Handler. Việc thao tác dẫn đến duyệt thư mục. Khai báo vấn đề bằng CWE sẽ dẫn tới CWE-22. Lỗ hổng đã được công bố dưới mã GHSA-r2fw-9cw4-mj86. Bạn có thể tải khuyến nghị này tại github.com.

Lỗ hổng này được biết đến với tên CVE-2025-53906. Ngày 11/07/2025 là thời điểm CVE được gán. Có khả năng tiến hành cuộc tấn công từ xa. Chưa có thông tin kỹ thuật nào. Độ phức tạp của một cuộc tấn công là khá cao. Việc khai thác lỗ hổng này được đánh giá là khó thực hiện. Lỗ hổng này có mức độ phổ biến thấp hơn trung bình. Chưa phát hiện mã khai thác nào. Giá hiện tại cho một exploit có thể khoảng USD $0-$5k vào thời điểm này. Dự án MITRE ATT&CK xác định kỹ thuật tấn công là T1006.

Nếu tồn tại độ dài, thì nó được xác định là không được định nghĩa. Plugin với ID 242211 được cung cấp bởi trình quét lỗ hổng Nessus.

Nâng cấp lên phiên bản 9.1.1551 có thể khắc phục vấn đề này. Bản vá có tên là 586294a04179d855c3d1d4ee5ea83931963680b8. Bản sửa lỗi hiện đã có thể tải về tại github.com. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.

Lỗ hổng này cũng được ghi nhận trong các cơ sở dữ liệu lỗ hổng khác: Tenable (242211).

Bị ảnh hưởng

Red Hat Enterprise Linux
Fedora Linux
Ubuntu Linux
SUSE Linux
Oracle Linux
Gentoo Linux
RESF Rocky Linux
Open Source vim
Dell Secure Connect Gateway

Sản phẩmthông tin

Loại

Word Processing Software

Tên

Phiên bản

9.1.1550

Giấy phép

mã nguồn mở

Trang web

Sản phẩm: https://github.com/vim/vim/

CPE 2.3thông tin

🔒

CPE 2.2thông tin

🔒

CVSSv4thông tin

VulDB Vector: 🔒
VulDB Độ tin cậy: 🔍

CVSSv3thông tin

VulDB Điểm cơ sở meta: 4.6
VulDB Điểm tạm thời meta: 4.4

VulDB Điểm cơ sở: 5.0
VulDB Điểm tạm thời: 4.8
VulDB Vector: 🔒
VulDB Độ tin cậy: 🔍

CNA Điểm cơ sở: 4.1
CNA Vector (GitHub_M): 🔒

CVSSv2thông tin

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Véc-tơ	Độ phức tạp	Xác thực	Bí mật	Toàn vẹn	Khả dụng
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa

VulDB Điểm cơ sở: 🔒
VulDB Điểm tạm thời: 🔒
VulDB Độ tin cậy: 🔍

Khai thácthông tin

Lớp: Duyệt thư mục
CWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒

Vật lý: Một phần
Cục bộ: Có
Từ xa: Có

Khả dụng: 🔒
Trạng thái: Không được định nghĩa

EPSS Score: 🔒
EPSS Percentile: 🔒

Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔒

0-Day	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Hôm nay	Mở khóa	Mở khóa	Mở khóa	Mở khóa

Nessus ID: 242211
Nessus Tên: Fedora 42 : vim (2025-9395406660)

Tình báo mối đe dọathông tin

Sự quan tâm: 🔍
Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍

Biện pháp đối phóthông tin

Khuyến nghị: nâng cấp
Trạng thái: 🔍

Thời gian 0-ngày: 🔒

nâng cấp: vim 9.1.1551
Bản vá: 586294a04179d855c3d1d4ee5ea83931963680b8

dòng thời gianthông tin

11/07/2025 CVE được dành riêng
15/07/2025 +4 ngày Khuyến cáo đã công bố
15/07/2025 +0 ngày Mục VulDB đã được tạo
26/01/2026 +195 ngày Cập nhật lần cuối VulDB