Стежити 
CVE-2026-48095 в 7-Zip спричинив нові занепокоєння з приводу обробки шкідливих архівів і експлуатації, ініційованої користувачами. За даними GitHub Security Lab, уразливість є переповненням буфера в пам’яті в обробнику архівів NTFS 7-Zip, яка стосується версії 26.00 і може потенційно призвести до виконання довільного коду або краху програми. Проблему було виправлено в 7-Zip 26.01, реліз якого відбувся 27 квітня 2026 року.
Проблема особливо небезпечна, оскільки спотворений файл не потребує використання спеціального розширення NTFS для досягнення вразливого обробника. За даними публічних звітів, логіка резервного копіювання 7-Zip на основі підписів може спрямовувати спеціально створений файл з такими розширеннями, як .7z, .zip або .rar, в аналізатор NTFS після невдачі інших обробників, розширюючи практичну площину атаки для фішингових та соціотехнічних сценаріїв доставки.
Для захисників найважливіші деталі для CVE-2026-48095 – це уражена версія, тригер парсингу архівів та наявність публічних експлойтів. GitHub Security Lab каже, що дослідник Ярослав Лобачевський приватно повідомив про цю проблему 24 квітня 2026 року, у той час як пізніші публічні звіти підтвердили, що робочий генератор на Python був випущений разом із рекомендацією.
Аналіз CVE-2026-48095
На технічному рівні уразливість виникає через помилку недоділення в стислому потоці буфера NTFS, всередині CInStream::GetCuSize(). GitHub Security Lab пояснює, що спеціально створене зображення NTFS може змусити вираз зрушення, що використовується для розміру буфера, досягти показника 32, що викликає невизначену поведінку в C++ і залишає _inBuf, виділеним лише як 1 байт. Наступна операція зчитування записує дані, контрольовані атакуючим, у цей маленький буфер, створюючи класичний стан переповнення купи.
Це переповнення стає експлуатаційним, оскільки сусіднє розташування купи дозволяє атакуючому пошкодити вказівник таблиці vtable об’єкта потоку. Публічний аналіз каже, що перше зчитування може перезаписати таблицю vtable після лише кількох сотень байтів, тоді як друге зчитування відправляє виконання через пошкоджений вказівник, роблячи виконання коду здійсненним в сприятливих умовах. Security Online і Cyber Press описують це як шлях до виконання довільного коду, при цьому відзначаючи, що системи з меншою пам’яттю можуть зазнати відмови в обслуговуванні.
Публічний PoC CVE-2026-48095 ще більше підвищує профіль ризику. Security Online каже, що дослідник випустив gen_ntfs_sparse.py, скрипт на Python, який генерує розріджене зображення NTFS, створене для виклику уразливості. На практиці, корисне навантаження CVE-2026-48095 є спеціально створеним зображенням архіву, а не виконуваним файлом, що відповідає загальним соціотехнічним сценаріям, де жертву заманюють відкрити те, що здається нешкідливим стиснутим файлом.
З операційної точки зору CVE-2026-48095 вражає системи, де користувачі відкривають ненадійні архівні файли з вразливими версіями 7-Zip. Узгоджене повідомлення спеціально тестувало 26.00, у той час як пізніші звіти вказують, що постраждало логіка розміру, яка передувала цьому випуску, припускаючи, що вразливість могла існувати довше, ніж одна лише протестована версія.
Зменшення ризику CVE-2026-48095
Основна відповідь – негайне оновлення до 7-Zip 26.01 або пізнішої версії. Графік розповсюдження GitHub Security Lab показує, що виправлення надійшло 27 квітня 2026 року, і офіційна історія 7-Zip підтверджує, що версія 26.01 вийшла на цю дату з виправленнями помилок.
Для практичної фіксації CVE-2026-48095 організації повинні визначити кінцеві точки роботи 7-Zip 26.00, переглянути оточення, де користувачі часто розпаковують зовнішні архіви, і надавати пріоритет системам, які використовуються для обробки електронної пошти, завантажень, аналізу шкідливого ПЗ або адміністративного обробки стиснутих файлів. Оскільки шлях експлуатації визначається файлами, найбільш корисним першим кроком є перевірка активів і версій, а не полювання у мережі.
У цитованих матеріалах немає виявлених CВЕ-2026-48095 IOCs від постачальника, тому команди, які намагаються виявити CVE-2026-48095, повинні зосередити увагу на підозрілій активності відкриття архівів, збоях у 7-Zip навколо NTFS-подібного вмісту та робочих процесах користувачів, де замасковані розширення архівів можуть досягати вразливого обробника. За відсутності сильнішої телеметрії, найнадійнішими засобами захисту залишаються патчі та увага користувачів.
FAQ
Що таке CVE-2026-48095 і як вона працює?
Це переповнення буфера в пам’яті в обробнику архівів NTFS 7-Zip. Спеціально створене зображення NTFS може ініціювати невизначену поведінку у розрахунку розміру буфера, змушуючи програму виділяти занадто мало пам’яті та потім переписувати сусідні дані в купі під час обробки архіву.
Коли вперше було виявлено CVE-2026-48095?
GitHub Security Lab каже, що проблему було приватно повідомлено 24 квітня 2026 року, а реліз із виправленням 7-Zip 26.01 відбувся 27 квітня 2026 року. Публічне повідомлення було опубліковано 22 травня 2026 року.
Який вплив CVE-2026-48095 на системи?
Найсерйозніший вплив – потенційне виконання довільного коду через захоплення таблиці vtable. Залежно від умов платформи та пам’яті, уразливість може також спричинити крахи програм або відмову в обслуговуванні.
Чи може CVE-2026-48095 все ще впливати на мене в 2026 році?
Так. Системи все ще можуть бути під загрозою у 2026 році, якщо вони продовжують використовувати вразливі збірки 7-Zip та користувачі відкривають архіви, контрольовані атакуючим. Ризик вищий у середовищах, де файли з електронної пошти, завантажень або зовнішніх подань регулярно розпаковуються.
Як я можу захистити себе від CVE-2026-48095?
Оновіть до 7-Zip 26.01 або новішої версії, зменшіть використання застарілих архівних інструментів і сприймайте несподівані архіви з ненадійних джерел як потенційно шкідливі, навіть якщо вони, здається, використовують загальні розширення файлів.
