D
把握のみ
ファイルマネージャーソフト「vifm」に、ヒープベースのバッファオーバーフローの脆弱性(CVE-2026-8997)
📌 一言でいうと
ファイルマネージャーソフト「vifm」に、ヒープベースのバッファオーバーフローの脆弱性(CVE-2026-8997)が発見されました。状態ファイル(vifminfo.json)の書き込み時に操作履歴をマージする際、入力の長さチェックが行われないため、メモリ破損やアプリケーションのクラッシュが発生する可能性があります。この問題はバージョン0.12.1から0.14.3までで確認されており、最新の修正済みコミットを適用することが推奨されます。
🔍該当判定
- ファイル管理ソフト「vifm」をインストールして利用している
- vifmのバージョンが 0.12.1 から 0.14.3 の間である
- Linux等のターミナル環境でvifmを常用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
vifmを最新バージョンに更新するか、修正済みコミット (23063c7) が適用されたビルドを利用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】vifm CVE-2026-8997 対応について
お疲れさまです。vifmの脆弱性に関する情報共有です。
■ 概要
ファイルマネージャー「vifm」において、状態ファイル (vifminfo.json) の保存時にヒープベースのバッファオーバーフローが発生する脆弱性が報告されました。悪意を持って作成された長いパスやコマンドが履歴に含まれている場合、メモリ破損やアプリケーションの強制終了を招く恐れがあります。
■ 影響範囲
- 対象製品: vifm
- 対象バージョン: 0.12.1 から 0.14.3 まで
■ 対応手順
1. 利用中のvifmのバージョンを確認してください。
2. 修正済みコミット (23063c7) 以降を含む最新バージョンへのアップデートを適用してください。
■ 参考情報
- CERT Polska アドバイザリ
対応優先度: 中
対応期限: 次回メンテナンス時まで
お疲れさまです。vifmの脆弱性に関する情報共有です。
■ 概要
ファイルマネージャー「vifm」において、状態ファイル (vifminfo.json) の保存時にヒープベースのバッファオーバーフローが発生する脆弱性が報告されました。悪意を持って作成された長いパスやコマンドが履歴に含まれている場合、メモリ破損やアプリケーションの強制終了を招く恐れがあります。
■ 影響範囲
- 対象製品: vifm
- 対象バージョン: 0.12.1 から 0.14.3 まで
■ 対応手順
1. 利用中のvifmのバージョンを確認してください。
2. 修正済みコミット (23063c7) 以降を含む最新バージョンへのアップデートを適用してください。
■ 参考情報
- CERT Polska アドバイザリ
対応優先度: 中
対応期限: 次回メンテナンス時まで
Subject: [Security Advisory] vifm CVE-2026-8997 Mitigation
Dear IT Administration Team,
We are sharing information regarding a vulnerability found in the vifm file manager.
■ Overview
A heap-based buffer overflow vulnerability (CVE-2026-8997) has been identified in vifm. The flaw exists during the merging of operation history when writing the state file (vifminfo.json), where a lack of length validation can lead to memory corruption or application crashes if a specially crafted long path or command is processed.
■ Scope
- Product: vifm
- Affected Versions: 0.12.1 through 0.14.3 (inclusive)
■ Mitigation Steps
1. Identify systems running affected versions of vifm.
2. Update to the latest version or ensure the fix in commit 23063c7 is applied.
■ Reference
- CERT Polska Advisory
Priority: Medium
Deadline: Next scheduled maintenance
Dear IT Administration Team,
We are sharing information regarding a vulnerability found in the vifm file manager.
■ Overview
A heap-based buffer overflow vulnerability (CVE-2026-8997) has been identified in vifm. The flaw exists during the merging of operation history when writing the state file (vifminfo.json), where a lack of length validation can lead to memory corruption or application crashes if a specially crafted long path or command is processed.
■ Scope
- Product: vifm
- Affected Versions: 0.12.1 through 0.14.3 (inclusive)
■ Mitigation Steps
1. Identify systems running affected versions of vifm.
2. Update to the latest version or ensure the fix in commit 23063c7 is applied.
■ Reference
- CERT Polska Advisory
Priority: Medium
Deadline: Next scheduled maintenance