Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu vifm
22 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-8997
Data publikacji 22 maja 2026
Producent podatnego oprogramowania vifm
Nazwa podatnego oprogramowania vifm
Podatne wersje Od 0.12.1 do 0.14.3 włącznie
Typ podatności (CWE) Heap-based Buffer Overflow (CWE-122)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu vifm i koordynował proces ujawniania informacji.

Podatność CVE-2026-8997: vifm jest podatny na przepełnienie bufora sterty podczas procesu scalania historii operacji przy zapisywaniu pliku stanu (vifminfo.json). Problem występuje, ponieważ aplikacja (w buildach produkcyjnych) nie wykonuje sprawdzenia długości wpisów, co może umożliwić specjalnie przygotowanej długiej ścieżce lub poleceniu w historii spowodowanie uszkodzenia pamięci lub awarii aplikacji.

Za podatne uznawane są wydania od 0.12.1 do 0.14.3 (włącznie). Problem został naprawiony w commicie 23063c7.

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.