प्लेटफ़ॉर्म
linux
घटक
vim
में ठीक किया गया
9.2.0276
Vim एक ओपन सोर्स कमांड लाइन टेक्स्ट एडिटर है। CVE-2026-34982 एक मॉडललाइन Sandbox Bypass भेद्यता है जो Vim में मौजूद है, जिसके कारण एक तैयार फ़ाइल खोलने पर हमलावर मनमाना ऑपरेटिंग सिस्टम कमांड चला सकता है। यह भेद्यता Vim के संस्करण 0.0.0 से लेकर 9.2.0276 तक के संस्करणों को प्रभावित करती है। इस समस्या को Vim संस्करण 9.2.0276 में ठीक कर दिया गया है।
Vim में CVE-2026-34982 भेद्यता, एक व्यापक रूप से उपयोग किए जाने वाले कमांड-लाइन टेक्स्ट एडिटर को प्रभावित करती है, जिससे ऑपरेटिंग सिस्टम कमांड को मनमाने ढंग से निष्पादित किया जा सकता है। यह मॉडललाइन सैंडबॉक्स में एक दोष के कारण है। 9.2.0276 संस्करण से पहले, कुछ विकल्प (complete, guitabtooltip, printheader) 'P_MLE' ध्वज से रहित थे, जिससे दुर्भावनापूर्ण मॉडललाइन का निष्पादन संभव हो गया। इसके अतिरिक्त, 'mapset()' फ़ंक्शन सुरक्षा जांच नहीं करता है, जिससे सैंडबॉक्स किए गए अभिव्यक्तियों से दुरुपयोग आसान हो जाता है। एक हमलावर एक विशेष रूप से डिज़ाइन की गई फ़ाइल बना सकता है जिसे Vim में खोलने पर उपयोगकर्ता के सिस्टम पर अवांछित कमांड निष्पादित हो जाएंगे, जिससे सिस्टम सुरक्षा से समझौता हो सकता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को Vim का उपयोग करने वाले उपयोगकर्ता द्वारा खोली जाने वाली फ़ाइल की सामग्री को नियंत्रित करने में सक्षम होना चाहिए। यह एक समझौता किए गए वेब सर्वर, एक दुर्भावनापूर्ण कोड रिपॉजिटरी या नेटवर्क पर साझा फ़ाइल के माध्यम से प्राप्त किया जा सकता है। एक बार जब उपयोगकर्ता फ़ाइल खोलता है, तो दुर्भावनापूर्ण मॉडललाइन निष्पादित हो जाएगी, जिससे हमलावर उपयोगकर्ता के सिस्टम पर मनमाने कमांड निष्पादित कर सकेगा। इस भेद्यता की गंभीरता उपयोगकर्ता के विशेषाधिकार स्तर और सिस्टम कॉन्फ़िगरेशन पर निर्भर करती है जो फ़ाइल खोलता है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CVSS वेक्टर
अनुशंसित समाधान Vim को 9.2.0276 या उच्चतर संस्करण में अपडेट करना है। यह अपडेट प्रभावित विकल्पों में 'PMLE' ध्वज जोड़कर और 'mapset()' फ़ंक्शन में 'checksecure()' कॉल को शामिल करके भेद्यता को ठीक करता है। विशेष रूप से उन वातावरणों में जहां Vim का उपयोग बाहरी स्रोतों या साझा फ़ाइलों से फ़ाइलों को संपादित करने के लिए किया जाता है, इस अपडेट को जल्द से जल्द लागू करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो संभावित रूप से दुर्भावनापूर्ण फ़ाइलों तक पहुंच को प्रतिबंधित करें और Vim में खोलने से पहले फ़ाइलों की सावधानीपूर्वक जांच करें। सिस्टम लॉग की निगरानी करके संभावित हमलों का पता लगाना और उनका जवाब देना भी सहायक हो सकता है।
Actualice a la versión 9.2.0276 o superior para corregir la vulnerabilidad. Esta actualización aborda un bypass del sandbox del modeline que podría permitir la ejecución de comandos del sistema operativo arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
मॉडललाइन एक टेक्स्ट फ़ाइल में एक पंक्ति है जिसमें फ़ाइल प्रकार, एन्कोडिंग और अन्य Vim विकल्पों के बारे में जानकारी होती है। इसका उपयोग आमतौर पर फ़ाइल खोलने पर Vim को स्वचालित रूप से कॉन्फ़िगर करने के लिए किया जाता है।
Vim खोलें और कमांड :version दर्ज करें। यह आपके द्वारा उपयोग किए जा रहे Vim संस्करण को प्रदर्शित करेगा।
संभावित रूप से दुर्भावनापूर्ण फ़ाइलों तक पहुंच को प्रतिबंधित करें, Vim में खोलने से पहले फ़ाइलों की सावधानीपूर्वक जांच करें और सिस्टम लॉग की निगरानी करके संदिग्ध गतिविधि का पता लगाएं।
नहीं। केवल 9.2.0276 से पहले के संस्करण प्रभावित हैं।
वर्तमान में मॉडललाइन के साथ दुर्भावनापूर्ण फ़ाइलों का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालाँकि, संदिग्ध पैटर्न की तलाश के लिए स्थैतिक कोड विश्लेषण उपकरणों का उपयोग किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।