Vulnerabilidad en Vim (CVE-2025-24014)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
20/01/2025
Última modificación:
14/08/2025
Descripción
Vim es un editor de texto de línea de comandos de código abierto. Se encontró un error de segmentación en Vim antes de la versión 9.1.1043. En el modo Ex silencioso (-s -e), Vim normalmente no muestra una pantalla y solo funciona silenciosamente en modo por lotes. Sin embargo, aún es posible activar la función que maneja el desplazamiento de una versión de interfaz gráfica de usuario de Vim al introducir algunos caracteres binarios en Vim. Sin embargo, la función que gestiona el desplazamiento puede estar activando un redibujado, que accederá al puntero ScreenLines, incluso aunque esta variable no haya sido asignada (ya que no hay pantalla). Esta vulnerabilidad se corrigió en la versión 9.1.1043.
Impacto
Puntuación base 3.x
4.20
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vim:vim:*:*:*:*:*:*:*:* | 9.1.1043 (excluyendo) | |
| cpe:2.3:o:netapp:hci_compute_node_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/vim/vim/commit/9d1bed5eccdbb46a26b8a484f5e9163c40e63919
- https://github.com/vim/vim/security/advisories/GHSA-j3g9-wg22-v955
- http://www.openwall.com/lists/oss-security/2025/01/20/4
- http://www.openwall.com/lists/oss-security/2025/01/21/1
- https://security.netapp.com/advisory/ntap-20250314-0005/