Mô tả lỗ hổng: Lỗ hổng CVE-2025-27423 ảnh hưởng đến trình chỉnh sửa văn bản phổ biến Vim và liên quan đến việc kiểm tra đầu vào không đúng trong plugin tar.vim. Plugin tar.vim cho phép người dùng xem và chỉnh sửa các tệp tar, sử dụng lệnh ex :read để thêm nội dung bên dưới vị trí con trỏ. Tuy nhiên, lệnh này không kiểm tra tên tệp một cách đúng cách, cho phép các kẻ xấu tạo ra các tệp tar được thiết kế đặc biệt có thể thực thi các lệnh shell khi được mở bằng Vim.
Tác động: Mức độ nghiêm trọng của lỗ hổng này được đánh giá là cao, với điểm số CVSS là 7.1. Mặc dù tiềm năng gây hại là đáng kể, người dùng có thể giảm thiểu rủi ro bằng cách cẩn trọng khi mở các tệp tar từ các nguồn không đáng tin cậy.
Giải pháp: Dự án Vim đã phát hành bản vá v9.1.1164, giải quyết CVE-2025-27423. Người dùng được khuyến cáo mạnh mẽ để cập nhật cài đặt Vim của họ lên phiên bản này hoặc phiên bản mới hơn ngay lập tức.
Lỗ hổng này nhấn mạnh tầm quan trọng của việc kiểm tra đầu vào đúng cách trong các plugin và nhu cầu cập nhật thường xuyên để đảm bảo an ninh cho các công cụ phần mềm được sử dụng rộng rãi như Vim.
