Файловый менеджер для терминала vifm, популярный среди опытных пользователей Linux и macOS, содержит уязвимость, которая может привести к аварийному завершению программы или повреждению памяти. Проблема получила идентификатор CVE-2026-8997 и оценку 4,8 балла по шкале CVSS (Common Vulnerability Scoring System - общая система оценки уязвимостей). Причиной стал пропущенный разработчиками контроль длины записей истории.
Уязвимость CVE-2026-8997
Уязвимость затрагивает процесс сохранения файла состояния "vifminfo.json". Когда программа завершает работу, она сливает данные из текущей сессии с сохранённой историей. В этот момент из-за отсутствия проверки размера записи может произойти переполнение буфера в куче (heap buffer overflow). Если злоумышленник создаст специально длинный путь или команду в истории, то в момент сохранения приложение запишет данные за границы выделенной области памяти. Это вызовет повреждение памяти или немедленный сбой программы.
Проблема проявляется только в сборках для выпуска (release builds), так как в отладочных версиях разработчики обычно включают дополнительные проверки. Однако именно финальные сборки используются большинством пользователей. Вектор атаки требует локального доступа к системе и взаимодействия пользователя - например, жертва должна открыть вредоносный файл или ввести команду, которая попадёт в историю. Тем не менее для корпоративных сред, где vifm применяется для удалённого администрирования, такой сценарий реален.
Уязвимы все версии начиная с 0.12.1 и до 0.14.3 включительно. Разработчики уже исправили ошибку в коммите "23063c7". Пользователям рекомендовано обновиться до последней стабильной версии либо применить патч вручную. Если обновление невозможно, стоит временно ограничить запись истории в конфигурации программы - отключить сохранение "vifminfo.json" или очищать его перед каждым запуском.
С точки зрения последствий, данная уязвимость не позволяет удалённо выполнить код, но может стать частью более сложной цепочки атак. Например, при совместном использовании с другими проблемами локального повышения привилегий злоумышленник способен вызвать отказ в обслуживании для конкретного пользователя. Вредоносные файлы с длинными путями могут быть распространены через общие сетевые каталоги или вредоносные скрипты.
Интересно, что ошибка относится к классу CWE-122 (переполнение буфера в куче) - одному из самых распространённых в программном обеспечении на C. Разработчики vifm, скорее всего, использовали функции работы с памятью без проверки границ, что типично для старых кодовых баз. Подобные уязвимости регулярно выявляют в терминальных утилитах, которые редко проходят аудит безопасности.
Для специалистов по информационной безопасности эта новость служит напоминанием о важности контроля длины входных данных. Даже небольшая ошибка в обработке истории может привести к нестабильности системы. В условиях, когда vifm используется в автоматизированных сценариях или в окружениях с повышенными требованиями к надёжности, рекомендуется провести инвентаризацию используемых версий и как можно скорее установить обновление.
Подводя итог, уязвимость CVE-2026-8997 - ещё один пример того, как невнимательность к граничным условиям в популярных утилитах может создать брешь в безопасности. Несмотря на средний уровень угрозы, пренебрегать патчем не стоит. В современном ландшафте угроз даже локальные уязвимости способны стать звеном в атаке на инфраструктуру.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-8997
- https://github.com/vifm/vifm/commit/23063c741f15a85621fd232dfc3ac5b779f6910d
- https://cert.pl/en/posts/2026/05/CVE-2026-8997
