つみかさね

CVE-2026-34714

Critical(9.2)

CVE-2026-34714 — Vim ファイルオープン時のコード実行脆弱性

公開日: 2026-04-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Vimvim< 9.2.0272

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Vim のバージョンを確認する(vim --version)
  2. 2v9.2.0272 以降へアップデートする
  3. 3信頼できないファイルは -u NONE で開く

影響対象

Vim 利用者

補足

  • -CVSS Critical — デフォルト設定で影響を受けるため早急な対応を推奨します
CVEVimコード実行OSコマンドインジェクション

概要

テキストエディタ Vim の バージョン 9.2.0272 未満 に おいて、細工 された ファイル を 開く だけ で デフォルト 設定 の まま コード が 実行 される 脆弱性 が 存在 します。tabpanel オプション に P_MLE(Multi-Line Expression)フラグ が 設定 されて いない ため、%{expr} インジェクション が 可能 と なります。

開発者 が 日常的 に 使用 する ツール で ある ため、影響範囲 が 広い 脆弱性 です。

CVSS ベクトル

項目
CVSS スコア9.2(Critical)
攻撃 元 区分ローカル
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与必要(ファイルを開く)
CWECWE-78(OSコマンドインジェクション)

影響 を 受ける ソフトウェア

製品影響 条件修正 バージョン
Vim9.2.0272 未満v9.2.0272

修正 バージョン と 回避策

  • Vim v9.2.0272 以降 へ アップデート する こと で 修正 されます
  • パッケージ マネージャー 経由 で の アップデート: apt upgrade vim / brew upgrade vim
  • 信頼 できない ソース から の ファイル を 開く 際 は -u NONE オプション で 設定 を 無効化 する こと も 一時的 な 回避策 です

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-34714
GHSA:https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh
GitHub:https://github.com/vim/vim/commit/664701eb7576edb7c7c7d9f2d600815ec1f43459
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。