Vulnérabilités dans l’éditeur VIM

Date de publication :

VIM est un logiciel permettant l’édition de fichier texte.

CVE-2022-0629[Score CVSS v3.1: 8.4]

Un débordement de mémoire tampon dû à un manque de contrôle des limites par la fonction ga_concat_shorten_esc() peut permettre à un attaquant d’exécuter du code arbitraire sur le système.

CVE-2022-0685[Score CVSS v3.1: 8.4]

Une gestion incorrecte du pointeur a été identifiée dans VIM. Les détails techniques de l’exploitation et les attaques possibles ne sont pas connus pour le moment.

 

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 8.4 max

La faille est activement exploitée

    Non, mais des exploits (POC) sont disponibles pour les deux CVE.

Un correctif existe

    Oui, pour les deux CVE.

Une mesure de contournement existe

    Non, pour les deux CVE.

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-0629                         

Pour la CVE-2022-0685                     

Détails sur l’exploitation

Pour la CVE-2022-0629

    Vecteur d’attaque : Local

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Aucun

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Pour la CVE-2022-0685

    Vecteur d’attaque : Local

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Aucun

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables.

Pour la CVE-2022-0629

Les versions VIM :

    6.0

    6.3

    6.4

    7.1.298

    7.2b

    7.2a.013

    5.0

    7.0

    7.1

    7.2

    7.2c.002

    6.3.58

    6.2.429

    3.0

    4.0

    5.1

    5.2

    5.3

    5.4

    5.5

    5.6

    5.7

    5.8

    6.2

    7.2.10

    7.1.314

    7.1.300

    7.1.299

    7.2a.13

    7.2a.10

    7.3.033

    7.3.032

    7.3.031

    7.3.030

    7.3.029

    7.3.027

    7.3.028

    7.3.026

    7.3.025

    7.3.024

    7.3.023

    7.3.022

    7.3.021

    7.3.020

    7.3.019

    7.3.018

    7.3.017

    7.3.016

    7.3.015

    7.3.014

    7.3.013

    7.3.012

    7.3.011

    7.3.010

    7.3.09

    7.3.08

    7.3.07

    7.3.06

    7.3.05

    7.3.04

    7.3.03

    7.3.02

    8.0.0055

    8.0.0377

    8.0.0376

    8.0

    8.0.1187

    8.1.2135

    8.1.0880

Pour la CVE-2022-0685

    Toutes les versions précédant la version 8.2.4418

 

Solutions ou recommandations

Pour la CVE-2022-0629

  • Appliquer la dernière mise à jour de VIM vers la version 8.2.4410, ou toutes autres versions plus récentes.
  • Des informations supplémentaires sur VIM sont disponibles ici.

Pour la CVE-2022-0685

  • Appliquer la dernière mise à jour de VIM vers la version 8.2.4418, ou toutes autres versions plus récentes.
  • Des informations supplémentaires spécifiques pour le correctif sont disponibles ici.
  • Des informations supplémentaires sur VIM sont disponibles ici.

Liens