安全通告

                                                          关于Vim 代码执行漏洞的预警通报

                                                                                               发布日期：2026–04–03

                                                                                               [2026]006号

漏洞描述

2026年04月03日监测发现，Vim存在代码执行漏洞(CVE-2026-34982)，该漏洞核心原因在于 complete、guitabtooltip 和 printheader 等选项未设置 P_MLE 安全标志（部分甚至缺失 P_SECURE 标志），导致攻击者可以通过模式行（modeline）执行任意代码。

Vim 是从 vi 发展出来的一个文本编辑器。其代码补完、编译及错误跳转等方便编程的功能特别丰富，在程序员中被广泛使用。

漏洞编号

CVE-2026-34982

漏洞危害

攻击者可通过构造恶意文件诱导用户使用 Vim 打开，从而在用户权限下执行任意系统命令（root用户因默认禁用模式行功能不受影响），实现本地代码执行（RCE）。该漏洞利用门槛较低，且无需额外交互，在实际场景中可结合钓鱼文件、代码仓库投递等方式进行攻击，进而导致主机被控、敏感信息泄露或进一步横向移动。

漏洞等级

高危
受影响版本

9.1.1178 <= Vim < 9.2.0276

修复方案

1. 官方升级

目前官方已有可更新版本，建议受影响用户升级至最新版本：Vim >= 9.2.0276

下载地址：https://github.com/vim/vim/releases/tag/v9.2.0276

参考资料

https://github.com/vim/vim/security/advisories/GHSA-8h6p-m6gr-mpw9