【漏洞通告】Windows Vim 路径劫持漏洞导致远程代码执行(CVE-2025-66476)
发布时间 2025-12-03一、漏洞概述
漏洞名称 | Windows Vim 路径劫持漏洞导致远程代码执行 | ||
CVE ID | CVE-2025-66476 | ||
漏洞类型 | 路径劫持漏洞 | 发现时间 | 2025-12-3 |
漏洞评分 | 7.8 | 漏洞等级 | 高危 |
攻击向量 | 本地 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Vim是一款强大的文本编辑器,广泛用于程序开发和系统管理。它基于Vi编辑器,提供高效的键盘操作模式,支持多种编程语言的语法高亮、自动补全和插件扩展。Vim的操作基于模式切换,包括命令模式、插入模式和可视模式,用户可通过键盘快捷键进行快速编辑和文件管理。Vim的高度可定制性和丰富的插件生态使其成为开发人员和系统管理员的首选工具之一,尤其适用于高效的代码编写和文本处理。
2025年12月3日,启明星辰集团VSRC监测到一个影响Vim(Windows)的漏洞,Vim在执行外部命令时(如:grep使用Windows的findstr.exe)会优先搜索当前工作目录,而不是系统路径。这使得攻击者能够在项目目录中放置伪装成合法可执行文件的恶意文件(例如findstr.exe)。当用户在Vim中执行诸如:grep或其他外部命令时,Vim可能无意中执行这些恶意文件,导致远程命令执行。该漏洞不需要提升权限,攻击者可以利用该漏洞在用户系统上执行任意代码,获取与Vim用户相同的权限。
二、影响范围
Vim(Windows) < v9.1.1947
三、安全措施
3.1 升级版本
官方已发布修复补丁,以修复该漏洞。
下载链接:https://www.vim.org/download.php/
3.2 临时措施
暂无。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
京公网安备11010802024551号