CVE-2025-66476CVE-2025-66476是Vim编辑器在Windows平台上的一个高危安全漏洞,CVSS评分达到7.8。该漏洞存在于Vim 9.1.1947之前的版本,由于在Windows环境下使用cmd.exe作为shell时,Vim在解析外部命令时会先搜索当前工作目录,然后再搜索系统路径,攻击者可利用此行为在用户编辑文件所在目录中植入恶意可执行文件,诱导Vim执行恶意代码。漏洞影响所有使用Vim编辑器的Windows用户,尤其对开发者群体影响较大,因为Vim是常用的命令行文本编辑器。攻击成功可导致机密数据泄露、系统完整性破坏等严重后果。
该漏洞的根本原因在于Vim在Windows平台上调用外部命令时的路径解析顺序不当。当用户在Windows上使用Vim编辑文件时,如果通过:grep命令调用findstr工具,Vim会通过cmd.exe执行该命令。问题在于cmd.exe在查找可执行文件时,会优先搜索当前工作目录,这与其他操作系统(如Linux)的安全行为不同。攻击者可以在用户当前编辑文件所在的目录中放置与系统命令同名的恶意可执行文件(如findstr.exe、cmd.exe等),当Vim调用这些工具时,会优先执行攻击者植入的恶意程序。此外,:!命令执行的外部过滤器以及编译器/:make命令同样存在此问题。此漏洞的利用条件包括:攻击者需要预先在目标目录中植入恶意可执行文件,且需要诱使目标用户在特定目录下打开文件并执行特定Vim命令。