[TLP:CLEAR] Vim opravuje dvě zranitelnosti
Vim verzí 9.1.1406 opravuje 2 zranitelnosti [1][2].
Autentizovanému lokálnímu útočníkovi je kvůli chybnému zpracování vnořených n-tic (nested tuples) ve Vim skriptu umožněno vyvolat zranitelnost typu use-after-free ve funkci tuple_unref(), což může vést k poškození paměti [1][3].
Zranitelnost se nachází v produktu Vim ve verzích >9.1.1231 AND <9.1.1400.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-55157 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 8. 2025.
Neautentizovanému lokálnímu útočníkovi je kvůli chybnému zpracování vnořených n-tic (nested tuples) během importu ve Vim skriptu, vedoucí ke zranitelnosti typu double-free ve funkci clear_tv() v důsledku nesprávné správy paměti v kódu handle_import / ex_import, umožněno způsobit poškození paměti [2][4].
Zranitelnost se nachází v produktu Vim ve verzích >9.1.1231 AND <9.1.1406.
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
Více informací:
- CVE-2025-55158 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-415: Double Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 8. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 13. 8. 2025.
