1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)

Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)

セキュリティニュース

投稿日時: 更新日時:

Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)

Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)が発生しました。対象者はアップデートする事をお勧めします。

脆弱性の対象バージョン

v9.1.1164未満

脆弱性の対策バージョン

v9.1.1164以上

脆弱性の概要

この脆弱性はCVSSスコア7.1と評価されており、高リスクの問題とされています。Vimプロジェクトのセキュリティアドバイザリでは、以下のように警告されています。

「2024年11月11日のコミット129a844以降、tar.vimプラグインは:readコマンドを使用してカーソル位置にデータを追加する仕様になりましたが、この入力が適切にサニタイズされておらず、tarアーカイブ内のファイル名がそのまま利用されます。これにより、特殊なtarアーカイブを用いた場合、任意のシェルコマンドを実行することが可能になります。」

ただし、この脆弱性を悪用するにはユーザーが悪意のあるtarアーカイブをVimで開く必要があるため、慎重なユーザーは不審な挙動に気付く可能性があります。 とはいえ、不注意な操作によって攻撃を受けるリスクがあるため、早急な対応が求められます。

 

関連記事

中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃 MiiTel(ミーテル)のOpenScape 4000とOpenScape 4000 Managerで危険度の高い脆弱性(CVE-2025-23093,CVE-2025-23094)MitelのOpenScape 4000とOpenScape 4000 Managerで危険度の高い脆弱性(CVE-2025-23093,CVE-2025-23094) Google が重大度が高いChromeを脆弱性修正 (CVE-2025-0444,CVE-2025-0445)Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445) OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466) Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) SonicWallのSMA1000の管理コンソールで脆弱性、緊急アップデートを実施(CVE-2025-23006)SonicWallのSMA1000の管理コンソールで脆弱性、緊急アップデートを実施(CVE-2025-23006) Windows Hyper-Vの脆弱性が発覚、PoCも公開(CVE-2025-21333)Windows Hyper-Vの脆弱性が発覚、PoCも公開(CVE-2025-21333) Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813) JavaScriptの人気ライブラリAxiosで重大な脆弱性(CVE-2025-27152)JavaScriptの人気ライブラリAxiosで重大な脆弱性(CVE-2025-27152)