Vulnerabilidad en Vim (CVE-2026-26269)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-121 Desbordamiendo de búfer basado en pila (Stack)

Fecha de publicación:

13/02/2026

Última modificación:

18/02/2026

Descripción

Vim es un editor de texto de código abierto, de línea de comandos. Antes de la versión 9.1.2148, existe una vulnerabilidad de desbordamiento de búfer de pila en la integración de NetBeans de Vim al procesar el comando specialKeys, afectando a las compilaciones de Vim que habilitan y usan la característica de NetBeans. El desbordamiento de búfer de pila existe en special_keys() (en src/netbeans.c). El bucle while (*tok) escribe dos bytes por iteración en un búfer de pila de 64 bytes (keybuf) sin verificación de límites. Un servidor NetBeans malicioso puede desbordar keybuf con un solo comando specialKeys. El problema ha sido solucionado a partir del parche de Vim v9.1.2148.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo