阿里云漏洞库

中危 Vim 代码问题漏洞(CVE-2023-4736)

CVE编号

CVE-2023-4736

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-09-03

漏洞描述

GitHub 仓库 vim/vim 在版本 9.0.1833 之前存在一个不受信任的搜索路径漏洞。该漏洞可能导致恶意软件通过向受影响的程序注入恶意库文件来获取系统权限。攻击者可以利用该漏洞来执行恶意代码，获取敏感信息或对系统进行进一步的攻击。建议及时更新至最新版本以修复此漏洞。

解决建议

"将组件 vim 升级至 9.0.1833 及以上版本"

参考链接
http://seclists.org/fulldisclosure/2023/Oct/24
https://github.com/vim/vim/commit/816fbcc262687b81fc46f82f7bbeb1453addfe0c
https://huntr.dev/bounties/e1ce0995-4df4-4dec-9cd7-3136ac3e8e71
https://support.apple.com/kb/HT213984

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vim	vim	*		Up to (excluding) 9.0.1833
	运行在以下环境
	系统	alpine_3.18	vim	*		Up to (excluding) 9.0.2073-r0
	运行在以下环境
	系统	alpine_3.19	vim	*		Up to (excluding) 9.0.1888-r0
	运行在以下环境
	系统	anolis_os_23	vim	*		Up to (excluding) 9.0.2026-1
	运行在以下环境
	系统	debian_10	vim	*		Up to (excluding) 8.1.0875-5+deb10u6
	运行在以下环境
	系统	debian_11	vim	*		Up to (excluding) 8.2.2434-3+deb11u1
	运行在以下环境
	系统	debian_12	vim	*		Up to (excluding) 9.0.1378-2
	运行在以下环境
	系统	kylinos_aarch64_V10	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP32309b	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	vim-X11	*		Up to (excluding) 9.0-19.p02.se.01.ky10

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-426	不可信的搜索路径