製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Vimにおけるコードインジェクションの脆弱性

タイトル	Vimにおけるコードインジェクションの脆弱性
概要	Vimはオープンソースのコマンドラインテキストエディタです。バージョン9.2.0597より前のVimでは、Pythonのオムニ補完が現在のバッファから再構築された関数およびクラス定義をexec()で実行し、補完辞書を構築する過程で動作していました。Pythonは関数のデフォルト値、パラメータアノテーション、クラスの基底式を定義時に評価するため、悪意のあるバッファはオムニ補完中に攻撃者が制御するPython式を実行させる可能性がありました。既存のg:pythoncomplete_allow_import緩和策(GHSA-52mc-rq6p-rc7c)はこの経路をカバーしていません。なぜなら、攻撃者が制御するコードはimport/from文の収集によるものではないからです。この問題はバージョン9.2.0597で修正されています。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月11日0:00
登録日	2026年6月16日13:35
最終更新日	2026年6月16日13:35

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

影響を受けるシステム

Vim

Vim 9.2.0597 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-52860	https://www.cve.org/CVERecord?id=CVE-2026-52860
National Vulnerability Database (NVD)
2	CVE-2026-52860	https://nvd.nist.gov/vuln/detail/CVE-2026-52860

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
GitHub
1	Arbitrary Code Execution via Python Omni-Completion in Vim < 9.2.0561 Advisory vim/vim GitHub	https://github.com/vim/vim/security/advisories/GHSA-52mc-rq6p-rc7c
2	Arbitrary Code Execution via Python Omni-Completion in Vim < 9.2.0597 Advisory vim/vim GitHub	https://github.com/vim/vim/security/advisories/GHSA-65p9-mwwx-7468

その他

No	名前	URL
関連文書
1	patch 9.2.0597: [security]: possible code execution with python complete vim/vim@c8c6367 GitHub	https://github.com/vim/vim/commit/c8c63673bc4253212820626aeeb75999d9a539d2
2	Release v9.2.0597 vim/vim GitHub	https://github.com/vim/vim/releases/tag/v9.2.0597

変更履歴

No	変更内容	変更日
1	[2026年06月16日] 掲載	2026年6月16日13:35

NVD脆弱性情報

CVE-2026-52860

概要	Vim is an open source, command line text editor. Prior to version 9.2.0597, Vim's Python omni-completion executes reconstructed function and class definitions from the current buffer with exec() as part of populating the completion dictionary. Python evaluates function default values, parameter annotations, and class base expressions at definition time, so a hostile buffer can execute attacker-controlled Python expressions during omni-completion. The existing g:pythoncomplete_allow_import mitigation (GHSA-52mc-rq6p-rc7c) does not cover this path, because the attacker-controlled code is not a harvested import/from statement. This issue has been patched in version 9.2.0597.
公表日	2026年6月12日4:16
登録日	2026年6月13日4:15
最終更新日	2026年6月15日22:24

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:vim:vim::::::::					9.2.0597

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/vim/vim/commit/c8c63673bc4253212820626aeeb75999d9a539d2	security-advisories@github.com
2	https://github.com/vim/vim/releases/tag/v9.2.0597	security-advisories@github.com
3	https://github.com/vim/vim/security/advisories/GHSA-52mc-rq6p-rc7c	security-advisories@github.com
4	https://github.com/vim/vim/security/advisories/GHSA-65p9-mwwx-7468	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html