cmd.exeのせいで子プロセス呼び出しが脆弱になっちゃう件 - Qiita

当然、ほかにも危険なVimプラグイン（など）がたくさんあると想定される。ほかのコマンドを呼び出すソフトウェアを書く際は、少なくともWindowsで使用されることを想定する場合は、極力shell経由で呼び出すAPIは使用しないこと。自動でcmd.exeが使用され、脆弱性になり得る。 事例 とあるJavaScriptが中心のリポジトリーをvimで探索していたところ、 いきなりWindows Script Host (以下WSH)のエラーが。 しかもこれ、OKを押しても少したつとまた出てくる。 まともに編集できたじゃない。 どうしたものかと思ってタスクマネージャーを見ると、確かにgvim.exeから大量にWSHが実行されていることがわかる。 タスクマネージャー曰くどうやらgvim.exeがなぜかgit.jsを起動し、そこからWSHが起動しているらしい。 さらにgvim.exeから生えているgit

[igrep]

やっと書けた。

[houyhnhm]

わりと昔からの仕様なのだが、nixベースのツールでは不具合になりやすい箇所だなあ。拡張子つけるだけでも多少なんとかなりそうだが・・・・・・

[mattn]

PATHEXT に .js が入ってるの、かなり問題が起きやすいので辞めて欲しいとずっと思ってる。

[tyru]

あーなるほどなー… Windows で system() とか使ってる Vim プラグインがカレントディレクトリにあるファイルを優先して実行しちゃうっていう… job_start() 使うとかだったら cmd.exe 回避できるんかな？

[zetamatta]

なるほど。nyagos は cmd.exe と互換動作を目指しているけど、この点を回避する方法を検討してみよう