文章总结： 7-Zip26.00版本存在高危堆缓冲区溢出漏洞CVE-2026-48095，攻击者通过构造恶意NTFS归档文件可触发虚表劫持实现任意代码执行。该漏洞影响所有26.00及之前版本，具有文件扩展名无关的攻击特性，用户打开恶意文件即可触发。建议立即升级至v26.01修复版本并避免打开不可信归档文件。 综合评分： 85 文章分类： 漏洞分析,应用安全,漏洞预警,终端安全,安全工具

7-Zip 多个新漏洞可导致任意代码执行和系统受陷

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年5月26日 16:22 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

7-Zip 26.00版本中存在一个严重的堆缓冲区溢出漏洞 (CVE-2026-48095，CVSS v3.1 评分8.1)，可导致攻击者利用该工具NTFS归档处理器中的缺陷，通过虚表劫持实现任意代码执行。该漏洞被归类为 CWE-787（越界写入）和 CWE-190（整数溢出或环绕），影响所有7-Zip 26.00及之前版本。

该漏洞位于NtfsHandler.cpp中的CInStream::GetCuSize()函数内。该函数使用32位移位操作来计算NTFS压缩单元缓冲区大小：(UInt32)1 << (BlockSizeLog + CompressionUnit)。当精心构造的NTFS镜像将ClusterSizeLog设置为≥28（解析器明确接受该值），并且压缩数据属性中CompressionUnit == 4时，移位指数达到32，在C++中触发未定义行为。在x86硬件上，由于硬件对移位计数的屏蔽处理，该未定义行为导致_inBuf仅被分配1字节。

一个大小不足的1字节缓冲区会立即在 ReadStream_FALSE 调用中使用，该调用会将最多256 MB的攻击者控制的数据写入这个单字节的分配空间中。

由于流对象 CInStream 在堆上仅分配在 _inBuf 之后304字节，第一次64 KB的读取迭代就会覆盖该对象的虚表指针。

第二次迭代通过被破坏的虚表实施典型的虚表劫持，攻击者通过精心构造的NTFS集群内容完全控制被覆盖的指针。32位和64位版本均受影响。在拥有16 GB或以上RAM的64位系统上，_outBuf.Alloc(8 GB) 调用成功，执行过程直接进入溢出路径。在低内存系统上，分配失败会将影响限制为拒绝服务。

该漏洞一个特别危险的方面在于它与文件扩展名无关的攻击面。NTFS处理器使用基于签名的回退检测机制，通过字节偏移3处的“NTFS ”签名进行匹配。这意味着一个精心构造的NTFS镜像可以伪装成任何文件扩展名（例如 .7z、.zip、.rar，甚至没有扩展名），在扩展名匹配的处理器拒绝它之后，仍会触发存在漏洞的NTFS处理器。用户除了打开该构造文件之外无需任何交互。

所有7-Zip 26.00及之前版本均受影响，因为存在缺陷的 GetCuSize() 计算自NTFS压缩流支持首次引入以来就一直存在。

该漏洞由GitHub安全实验室的Jaroslav Lobačevski（@JarLob）发现并报告。已通过在Linux x64上使用Clang下的UBSan（UndefinedBehaviorSanitizer）得以确认，该工具在 NtfsHandler.cpp:687 处标记了根本原因的移位未定义行为，随后是一连串无效的虚表解引用，最终导致SIGSEGV。

强烈建议用户立即将7-Zip更新至已修复的版本 v26.01，并在应用修复之前避免打开任何扩展名的不可信归档文件或磁盘镜像。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞

开源压缩软件7-Zip 被曝严重的远程代码执行漏洞

n8n严重漏洞可导致任意代码执行

ChatGPT Atlas 浏览器漏洞可用于植入恶意命令并执行任意代码

AI 代理发现 Chrome 中的严重 UAF 漏洞，可导致任意代码执行

原文链接

New 7-Zip Vulnerabilities Let Attackers Execute Arbitrary Code and Compromise Systems

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Sergiu Gatlan Sergiu Gatlan《7-Zip 多个新漏洞可导致任意代码执行和系统受陷》