Eu não acho que haja um risco de segurança adicional de executar um editor arbitrário de visudo estritamente falando. Claramente, o usuário executando visudo já tem permissões para editar /etc/sudoers e, portanto, tem a capacidade de adicionar regras que permitirão a execução de quaisquer outros comandos no sistema. Portanto, independentemente de qual editor é executado, um usuário que pode visudo já pode executar o que quer indiretamente, adicionando uma nova regra sudo.
Acho que o aviso na documentação sobre as variáveis de ambiente EDITOR e VISUAL é sobre a execução de um shell raiz (ou de um comando arbitrário), ignorando o registro padrão do sudo. Por padrão, o sudo registra todas as autenticações bem-sucedidas e malsucedidas no syslog. Isso dá ao administrador do sistema uma trilha de auditoria sobre quais usuários estão executando quais comandos através do sudo. Se um usuário alterar /etc/sudoers com visudo , isso poderá ser visto pela soma de verificação ou revisão do arquivo. No entanto, se um usuário puder obter um shell raiz através de visudo , ele poderá executar comandos arbitrários sem nenhuma trilha de auditoria.
Portanto, o risco de segurança é o mesmo que conceder permissão para executar sudo bash , ou seja, um usuário com esse privilégio pode obter um shell raiz e executar código arbitrário sem qualquer restrição ou registro dos comandos executados.