7-Zip 多个新漏洞可导致任意代码执行和系统受陷

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

7-Zip 26.00版本中存在一个严重的堆缓冲区溢出漏洞 (CVE-2026-48095，CVSS v3.1 评分8.1)，可导致攻击者利用该工具NTFS归档处理器中的缺陷，通过虚表劫持实现任意代码执行。该漏洞被归类为 CWE-787（越界写入）和 CWE-190（整数溢出或环绕），影响所有7-Zip 26.00及之前版本。

该漏洞位于NtfsHandler.cpp中的CInStream::GetCuSize()函数内。该函数使用32位移位操作来计算NTFS压缩单元缓冲区大小：(UInt32)1 << (BlockSizeLog + CompressionUnit)。当精心构造的NTFS镜像将ClusterSizeLog设置为≥28（解析器明确接受该值），并且压缩数据属性中CompressionUnit == 4时，移位指数达到32，在C++中触发未定义行为。在x86硬件上，由于硬件对移位计数的屏蔽处理，该未定义行为导致_inBuf仅被分配1字节。

一个大小不足的1字节缓冲区会立即在 ReadStream_FALSE 调用中使用，该调用会将最多256 MB的攻击者控制的数据写入这个单字节的分配空间中。

由于流对象 CInStream 在堆上仅分配在 _inBuf 之后304字节，第一次64 KB的读取迭代就会覆盖该对象的虚表指针。

第二次迭代通过被破坏的虚表实施典型的虚表劫持，攻击者通过精心构造的NTFS集群内容完全控制被覆盖的指针。32位和64位版本均受影响。在拥有16 GB或以上RAM的64位系统上，_outBuf.Alloc(8 GB) 调用成功，执行过程直接进入溢出路径。在低内存系统上，分配失败会将影响限制为拒绝服务。

该漏洞一个特别危险的方面在于它与文件扩展名无关的攻击面。NTFS处理器使用基于签名的回退检测机制，通过字节偏移3处的“NTFS ”签名进行匹配。这意味着一个精心构造的NTFS镜像可以伪装成任何文件扩展名（例如 .7z、.zip、.rar，甚至没有扩展名），在扩展名匹配的处理器拒绝它之后，仍会触发存在漏洞的NTFS处理器。用户除了打开该构造文件之外无需任何交互。

所有7-Zip 26.00及之前版本均受影响，因为存在缺陷的 GetCuSize() 计算自NTFS压缩流支持首次引入以来就一直存在。

该漏洞由GitHub安全实验室的Jaroslav Lobačevski（@JarLob）发现并报告。已通过在Linux x64上使用Clang下的UBSan（UndefinedBehaviorSanitizer）得以确认，该工具在 NtfsHandler.cpp:687 处标记了根本原因的移位未定义行为，随后是一连串无效的虚表解引用，最终导致SIGSEGV。

强烈建议用户立即将7-Zip更新至已修复的版本 v26.01，并在应用修复之前避免打开任何扩展名的不可信归档文件或磁盘镜像。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞

开源压缩软件7-Zip 被曝严重的远程代码执行漏洞

n8n严重漏洞可导致任意代码执行

ChatGPT Atlas 浏览器漏洞可用于植入恶意命令并执行任意代码

AI 代理发现 Chrome 中的严重 UAF 漏洞，可导致任意代码执行

原文链接

https://cybersecuritynews.com/7-zip-vulnerabilities-code-execution/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~