大工网安告[2026008]

一、 情况分析

Vim是从vi发展出来的一个文本编辑器。其代码补完、编译及错误跳转等方便编程的功能特别丰富，在程序员中被广泛使用。

近日，监测到官方修复Vim代码执行漏洞(CVE-2026-34982)，该漏洞源于complete、guitabtooltip和printheader三个选项缺少P_MLE安全标志，导致脚本中的表达式可被用于注册任意命令。攻击者可以通过诱导用户打开特制文件，执行任意代码，从而导致获取系统控制权，可能导致数据泄露、系统破坏等严重后果。目前该漏洞POC已公开。

威胁类型：命令执行。

技术类型：操作系统命令注入。

危害描述：攻击者可以通过诱导用户打开特制文件，执行任意代码，获取系统控制权，可能导致数据泄露、系统破坏等严重后果。

二、 影响版本

9.1.1178 <= Vim < 9.2.0276

三、 处置建议

修复解决方案（含漏洞补丁）：

官方已发布安全补丁，请及时更新至最新版本：

Vim>= 9.2.0276

下载地址：

https://github.com/vim/vim/releases/tag/v9.2.0276