Especialistas en seguridad informática reportan la detección de dos vulnerabilidades en Vim, la versión mejorada del editor de texto Vi, presente en todos los sistemas UNIX y desarrollado por Bram Moolenar en 1991. Según el reporte, la explotación exitosa de estas fallas permitiría un compromiso severo de los sistemas afectados.
A continuación se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2022-1619: Un error de límite al procesar datos en la función cmdline_erase_chars() en ex_getln.c permitiría a los hackers remotos desencadenar un desbordamiento de búfer basado en montón, lo que llevaría a la ejecución de código arbitrario en el sistema afectado.
Esta es una falla de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2022-1620: Un error de desreferencia de puntero NULL dentro de la función vim_regexec_string() en regexp.c permitiría a los hackers remotos desencadenar una condición de denegación de servicio (DoS) en la aplicación.
La falla recibió un puntaje CVSS de 3.8/10 y se le considera un error de baja severidad.
Según el reporte, las fallas residen en todas las versiones de Vim entre Vim: 8.2.4800 y 8.2.4898.
Si bien estas vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware relacionada al ataque. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad para mitigar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).