7-Zip 最新安全版本 26.01 已于 4 月 27 日发布,以修复在 26.00 及更早版本中存在的 CVE-2026-48095 高危漏洞。此漏洞允许攻击者通过精心构造的 ZIP 文件执行任意代码或导致应用程序崩溃。
该漏洞源于 NTFS 压缩单元缓冲区大小计算中的 32 位移位表达式,当特定条件触发时,会导致未定义行为,使得缓冲区仅分配 1 字节,但后续操作却尝试向其中写入大量可控数据,从而引发严重的堆缓冲区溢出。在某些配置下,该溢出甚至可能被利用来实现任意代码执行。
7-Zip 最新安全版本 26.01 已于 4 月 27 日发布,以修复在 26.00 及更早版本中存在的 CVE-2026-48095 高危漏洞。此漏洞允许攻击者通过精心构造的 ZIP 文件执行任意代码或导致应用程序崩溃。
该漏洞源于 NTFS 压缩单元缓冲区大小计算中的 32 位移位表达式,当特定条件触发时,会导致未定义行为,使得缓冲区仅分配 1 字节,但后续操作却尝试向其中写入大量可控数据,从而引发严重的堆缓冲区溢出。在某些配置下,该溢出甚至可能被利用来实现任意代码执行。
该漏洞存在于 7-Zip 的 32 位和 64 位构建版本中,CVSS 3.1 评分为 8.8,属于高危级别。受影响的场景包括但不限于用户接触到恶意构造的 ZIP 文件,即使无需手动解压也可能面临风险。
鉴于漏洞的严重性和潜在影响,建议所有使用 7-Zip 26.00 及此前版本的用户尽快升级至 26.01 版本,以确保系统安全。