阿里云漏洞库

漏洞描述

自动加载/netrw.vim（也称为NetrwPlugin）109、131和其他版本，在133k之前为Vim7.1.266、其他7.1版本和7.2存储FTP会话的凭据，并在尝试建立后续FTP会话时将这些凭据发送到不同主机上的服务器，从而允许远程FTP服务器通过记录用户名和密码在机会情况下获取敏感信息。注意：上游供应商对涉及同一主机上不同端口的向量提出争议，“我假设他们故意在不变的主机名上使用相同的id和密码。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://groups.google.com/group/vim_dev/browse_thread/thread/2f6fad581a037971/...
http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.html
http://secunia.com/advisories/31464
http://secunia.com/advisories/34418
http://www.mandriva.com/security/advisories?name=MDVSA-2008:236
http://www.openwall.com/lists/oss-security/2008/10/06/4
http://www.openwall.com/lists/oss-security/2008/10/16/2
http://www.openwall.com/lists/oss-security/2008/10/20/2
http://www.rdancer.org/vulnerablevim-netrw-credentials-dis.html
http://www.securityfocus.com/archive/1/495432
http://www.securityfocus.com/archive/1/495436
http://www.securityfocus.com/bid/30670
http://www.vupen.com/english/advisories/2008/2379
https://bugzilla.redhat.com/show_bug.cgi?id=461750
https://exchange.xforce.ibmcloud.com/vulnerabilities/44419

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vim	netrw	109	-
	运行在以下环境
	应用	vim	netrw	110	-
	运行在以下环境
	应用	vim	netrw	111	-
	运行在以下环境
	应用	vim	netrw	112	-
	运行在以下环境
	应用	vim	netrw	113	-
	运行在以下环境
	应用	vim	netrw	114	-
	运行在以下环境
	应用	vim	netrw	115	-
	运行在以下环境
	应用	vim	netrw	116	-
	运行在以下环境
	应用	vim	netrw	118	-
	运行在以下环境
	应用	vim	netrw	120	-
	运行在以下环境
	应用	vim	netrw	121	-
	运行在以下环境
	应用	vim	netrw	122	-
	运行在以下环境
	应用	vim	netrw	123	-
	运行在以下环境
	应用	vim	netrw	128	-
	运行在以下环境
	应用	vim	netrw	131	-
	运行在以下环境
	应用	vim	vim	7.1	-
	运行在以下环境
	应用	vim	vim	7.1.266	-
	运行在以下环境
	应用	vim	vim	7.2	-
	运行在以下环境
	系统	debian_10	vim	*		Up to (including) 8.1.0875-5+deb10u2
	运行在以下环境
	系统	debian_11	vim	*		Up to (including) 8.2.2434-3+deb11u1
	运行在以下环境
	系统	debian_12	vim	*		Up to (including) 9.0.1378-2
	运行在以下环境
	系统	debian_9	vim	*		Up to (including) 8.0.0197-4+deb9u3

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

没有补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型

中危 netrw 信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况