Se ha descubierto una vulnerabilidad de severidad alta en el editor de texto Vim para sistemas Windows. Un actor malicioso podría lograr la ejecución de código arbitrario con los privilegios del usuario que ejecuta la aplicación.
Productos afectados
- Vim para Windows: versiones anteriores a 9.1.1947
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-66476: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de ruta de búsqueda no controlada en Vim para Windows. Un actor malicioso podría colocar un archivo ejecutable malicioso con un nombre común (ej. findstr.exe) en el directorio de trabajo actual; cuando el usuario invoca comandos externos o filtros desde Vim, el sistema podría ejecutar el archivo malicioso en lugar del binario legítimo, permitiendo la ejecución de código arbitrario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-66476
- https://github.com/vim/vim/security/advisories/GHSA-g77q-xrww-p834