Vim for Windowsに高深刻度の脆弱性 CVE-2025-66476

セキュリティニュース

投稿日時: 更新日時:

vim-for-windows-high-severity-vulnerability-cve-2025-66476

Windows版テキストエディタ「Vim」に、任意の実行ファイルを動かされてしまう高深刻度の脆弱性が見つかり、開発プロジェクトが公式にセキュリティアドバイザリを公開しました。

影響を受けるバージョン(対象バージョン)

本脆弱性の影響を受けるのは Windows版のVim 9.1.1947より前のバージョン です。
これらのバージョンでは、外部コマンド実行時にカレントディレクトリが優先されるため、同じフォルダ内に置かれた偽の findstr.exe などが実行されてしまう危険があります。

対策バージョン(修正版)

本脆弱性は、Vim 9.1.1947 で修正されています。
開発チームは、Windowsでの検索パスの扱いを見直し、カレントディレクトリに置かれた不正な実行ファイルが安易に呼び出されないよう挙動を修正したと説明しています。WindowsでVimを利用しているユーザーは、少なくとも 9.1.1947 以降 にアップデートすることで、この脆弱性の影響を避けることができます。

概要

この脆弱性は CVE-2025-66476 として登録されており、「High(高)」と評価されています。条件がそろうと、ユーザーが意図せず攻撃者の用意した実行ファイルを起動してしまい、任意コード実行につながる可能性があります。

とくに次のようなケースで悪用されるおそれがあります。

  • 開発者が他者から提供されたプロジェクトをそのまま展開し、Vimで開く

  • 不審なGitリポジトリをクローンし、そのフォルダで作業を行う

  • そのプロジェクトフォルダの中に、攻撃者が findstr.exe などの名前でトロイの木馬を仕込んでおく

ユーザーがそのフォルダに移動した状態で

  • :grep を実行(内部的に findstr.exe を呼び出す)

  • :!some_command で外部コマンドを叩く

  • :make でビルドツールを呼び出す

といった操作を行うと、本来のWindows標準コマンドではなく、フォルダ内の悪意ある実行ファイルが起動されてしまいます

実行されるコードは、Vimを起動しているユーザーと同じ権限で動作するため、管理者権限ではないものの、

  • ファイルの暗号化・削除などによるランサムウェア的被害

  • ソースコードや認証情報の窃取

  • 追加マルウェアのダウンロード

など、ユーザー環境に対する深刻な影響が考えられます。