开源压缩工具7-Zip被披露存在高危安全漏洞,攻击者可通过特制压缩包在受影响系统上执行恶意代码。该漏洞在不同平台与内存状态下可能触发远程代码执行、程序崩溃或拒绝服务。漏洞于4月被发现并私下通报给开发团队,官方随后发布7-Zip 26.01修复版本。
该漏洞编号为GHSL-2026-140,对应CVE-2026-48095。问题源于7-Zip处理基于NTFS的卷镜像文件时出现堆内存缓冲区溢出,错误的内存分配可能导致越界写入,为任意代码执行创造条件。攻击方式较为直接:用户在受影响版本中打开包含恶意NTFS镜像的压缩包时,程序在计算缓冲区大小时发生异常,从而破坏相邻内存区域。
该软件长期被大量系统采用,其命令行工具与底层库也被集成在多种应用中。在Windows与Linux环境中,旧版本7-Zip均可能成为潜在攻击目标。
目前有效的应对方式是升级至7-Zip26.01或更新版本。用户应检查本机版本并从官方渠道安装更新;企业管理员需排查内部系统与脚本中使用的7-Zip组件,统一部署补丁并评估潜在风险。随着PoC已公开,未更新系统的安全缓冲期正在缩短。
