El investigador de seguridad Armin Razmjou descubrió recientemente una vulnerabilidad de alta gravedad (CVE-2019-12735) en Vim y Neovim que permite ejecutar comandos en el sistema operativo y tomar el control del equipo de forma remota.
Vim es una potente aplicación de edición de texto que está presente en todos los sistemas UNIX y en muchas distribuciones GNU/Linux que la ofrecen preinstalada, permitiendo a los usuarios crear, ver o editar cualquier archivo, incluidos texto, scripts de programación y documentos.
Dado que Neovim es solo una versión extendida de Vim, con una mejor experiencia de usuario, complementos y GUI, la vulnerabilidad de ejecución de código también reside en ella. El fallo reside en la manera que el editor maneja los «modelines«, una característica que está habilitada por defecto para encontrar y aplicar automáticamente un conjunto de preferencias personalizadas mencionadas por el creador de un archivo acerca de las líneas de inicio y finalización del documento.
0 comentarios
Deja un comentario