CVE-2025-24014

چکیده

یک آسیب پذیری در vim تا قبل از نسخه 9.1.1042 شناسایی و به عنوان آسیب پذیری با شدت متوسط طبقه بندی شده است. این آسیب پذیری بر پایه سرریز بافر است که با پردازش ناشناخته مولفه Silent Ex Mode تأثیر می گذارد. حمله باید به صورت محلی انجام شود. هیچ اکسپلویتی تاکنون در دسترس نیست. بهترین اقدام ممکن نصب یک نسخه ارتقا یافته است.

توضیحات

Vim یک ویرایشگر متن باز است. تا قبل از نسخه 9.1.1043 یک خطای تقسیم بندی در Vim پیدا شده است که این آسیب پذیری بر عملکرد ناشناخته مولفه Silent Ex Mode تأثیر می گذارد. وقتی Vim در حالت Ex و به صورت بی‌صدا اجرا می‌شود (با استفاده از گزینه‌های -s و -e)، هیچ نمایشی از صفحه وجود ندارد و Vim به صورت دسته‌ای (batch mode) کار می‌کند. اگر کاراکترهای باینری خاصی به Vim تغذیه شوند، ممکن است باعث فعال شدن تابعی شوند که مسئول اسکرول کردن در نسخه گرافیکی (GUI) Vim است. این تابع ممکن است تلاش کند صفحه را دوباره رسم کند (redraw) و به متغیری به نام ScreenLines دسترسی پیدا کند. اما در حالت Ex بی‌صدا، این متغیر تخصیص داده نشده است، زیرا در این حالت نیازی به صفحه وجود ندارد.

به طور خلاصه میتوان اینگونه بیان کرد که بخشی از کد (مثل تابع اسکرول) فرض می‌کند که یک صفحه موجود است، در حالی که در حالت بی‌صدا، صفحه‌ای وجود ندارد و منابع مربوط به آن نیز تخصیص داده نشده‌اند. این ممکن است به مشکلات دسترسی به حافظه منجر شود.

CVSS

لیست محصولات آسیب پذیر

تمامی نسخه ها تا قبل از ورژن9.1.1043 آسیب پذیر هستند.

لیست محصولات بروز شده

Vim ورژن 9.1.1043

نتیجه گیری

به منظور جلوگیری از این آسیب پذیری تنها کافی است تا نسخه vim خود را به اخرین نسخه موجود بروز رسانی کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-24014
2. https://www.cvedetails.com/cve/CVE-2025-24014/
3. https://github.com/vim/vim/security/advisories/GHSA-j3g9-wg22-v955
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24014
5. https://vuldb.com/de/?id.292641
6. https://nvd.nist.gov/vuln/detail/CVE-2025-24014
7. https://cwe.mitre.org/data/definitions/787.html