Yaygın olarak kullanılan VIM Metin Düzenleyicisinde yüksek şiddetli bir güvenlik kusuru, saldırganların kullanıcıları özel olarak hazırlanmış katran arşivleri açmaya kandırarak savunmasız sistemlerde keyfi kod yürütmesine olanak tanır.
CVE-2025-27423 olarak izlenen bu güvenlik açığı, küresel olarak geliştiriciler ve sistem yöneticileri için acil yama çabaları ve uyarılar sağladı.
Güvenlik açığının teknik dökümü
Kusur, kullanıcıların katran dosyalarının içeriğini doğrudan editör içinde görüntülemelerini ve düzenlemelerini sağlayan Vim’in Tar.vim eklentisinde bulunur.
Güvenlik açığı, dosya izinleri için destek ekleyen ancak katran arşivlerinden çıkarılan dosya adlarını sterilize edemeyen Kasım 2024 güncellemesinden (taahhüt 129A844) kaynaklanmaktadır.
Bir kullanıcı kötü niyetli bir katran dosyası açtığında, eklenti şunları kullanır: İçeriği imleç konumunun altına eklemek için okuma komutunu kullanır.
Saldırganlar, kabuk metacharacters veya komutlarını dosya adlarına yerleştirerek bunu kullanabilir ve bunlar daha sonra kullanıcının varsayılan kabuğu tarafından ($ kabuk çevre değişkeni tarafından tanımlandığı gibi) yürütür.
Bir VIM bakıcısı olan Christian Brabandt, sorunun, dosya adlarının aşağıdakilere iletilmeden önce uygunsuz kaçışından kaynaklandığını doğruladı: okuma komutuna.
İstismarın başarısı kabuk konfigürasyonuna bağlıdır, Bash veya ZSH gibi ortak kabuklar ana hedeflerdir.
Özellikle, kötü niyetli dosya adı dosya gezinmesi sırasında görünür hale gelir ve temkinli kullanıcılara operasyonları iptal etme şansı sunar – bu, riski biraz hafifleten bir faktör.
Etki ve Şiddet
CVSS v3.1 ölçeğinde 7.1 olarak derecelendirilen CVE-2025-27423, yerel saldırganların kullanıcı etkileşiminden yararlanarak ayrıcalıkları artırmasını veya sistemleri uzlaştırmasını sağlar.
Sökülme, kötü niyetli bir katran dosyası açmak için bir hedefin ikna edilmesini gerektirse de, sonuçlar şiddetlidir: keyfi kod yürütülmesi veri hırsızlığı, fidye yazılımı dağıtımına veya yanal ağ hareketine yol açabilir.
Güvenlik açığı, 2 Mart 2025’te 9.1.1164’te yayınlanan yamalar ile 9.1.0858’den 9.1.1163’e kadar tüm VIM sürümlerini etkiler.
Azaltma ve öneriler
VIM Projesi, kullanıcıları hemen yamalı sürüme güncellemeye çağırır. Yükseltemeyenler için geçici çözümler şunları içerir:
- TAR.VIM’i VIM’in çalışma zamanı dizininde kaldırarak veya yeniden adlandırarak Tar.vim eklentisini devre dışı bırakma.
- Güvenilmeyen kaynaklardan katran dosyalarından kaçınmak ve TAR veya Gunzip gibi özel çıkarma araçlarını kullanmak.
- VIM’i, gelişmiş güvenlik ayarlarına sahip bir kısıtlı kabuk veya bir kabuk kullanacak şekilde yapılandırma.
Kusursuzluğu keşfeden GMO Flatt Security Inc.’in güvenlik araştırmacısı RY0TAK, uyanıklığın yama yaptıktan sonra bile kritik kaldığını vurgulamaktadır: “Kullanıcılar istenmeyen katran dosyalarını, özellikle işbirlikçi veya açık kaynak ortamlarında aşırı şüphecilikle ele almalıdır”.
Bu olay, arşiv işleme özelliklerini genellikle kullanıcı düzeyinde ayrıcalıklarla çalışan metin editörlerine entegre etme risklerinin altını çizmektedir.
Güvenlik açığı ayrıca, CWE-20 ve CWE-77 tavsiyelerinde belirtilen yaygın bir zayıflık olan giriş validasyonunun sürekli zorluğunu vurgulamaktadır.
Siber güvenlik firması Secalerts tarafından belirtildiği gibi, “eski eklentilerdeki küçük kod değişiklikleri bile kritik güvenlik açıklarını getirerek titiz testler gerektirebilir”.
VIM dünya çapında milyonlarca sisteme yüklenirken, yöneticilere güncellemelere öncelik vermeleri ve ekipleri şüpheli dosya artefaktlarını tanımak için eğitmeleri tavsiye edilir.
Vult gibi sürekli izleme araçları, kuruluşların savunmasız kurulumları gerçek zamanlı olarak tespit etmesine yardımcı olabilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free