Suivre 
CVE-2026-48095 dans 7-Zip a soulevé de nouvelles préoccupations concernant la gestion malveillante des archives et l’exploitation à l’initiative des utilisateurs. Selon GitHub Security Lab, la faille est un débordement d’écriture dans le tampon de tas dans le gestionnaire d’archives NTFS de 7-Zip qui affecte la version 26.00 et peut potentiellement mener à l’exécution de code arbitraire ou à des plantages d’applications. Le problème a été corrigé dans 7-Zip 26.01, publié le 27 avril 2026.
Le bug est particulièrement dangereux car le fichier malformé n’a pas besoin d’utiliser une extension de fichier NTFS dédiée pour atteindre le gestionnaire vulnérable. Les rapports publics indiquent que la logique de secours basée sur la signature de 7-Zip peut diriger un fichier conçu avec des extensions telles que .7z, .zip ou .rar vers l’analyseur NTFS après l’échec d’autres gestionnaires, élargissant ainsi la surface d’attaque pratique pour le phishing et la livraison par ingénierie sociale.
Pour les défenseurs, les détails les plus importants pour CVE-2026-48095 sont la version affectée, le déclencheur d’analyse des archives, et l’existence de matériel d’exploitation public. GitHub Security Lab affirme que le chercheur Jaroslav Lobačevski a signalé le problème en privé le 24 avril 2026, tandis que des articles publics ultérieurs ont confirmé qu’un générateur Python fonctionnel avait été publié en même temps que l’avis.
Analyse de CVE-2026-48095
Sur le plan technique, la faille provient d’un bug de sous-allocation dans le tampon de flux compressé NTFS, à l’intérieur de CInStream::GetCuSize(). GitHub Security Lab explique qu’une image NTFS créée peut forcer l’expression de décalage utilisée pour le dimensionnement du tampon à atteindre un exposant de 32, ce qui déclenche un comportement indéfini en C++ et laisse _inBuf alloué à seulement 1 octet. L’opération de lecture suivante écrit ensuite les données contrôlées par l’attaquant dans ce petit tampon, créant une condition classique de débordement de tas.
Ce débordement devient exploitable car la disposition adjacente du tas permet à l’attaquant de corrompre le pointeur de table virtuelle de l’objet flux. L’analyse publique dit que la première lecture peut écraser la table virtuelle après seulement quelques centaines d’octets, tandis que la seconde lecture envoie l’exécution via le pointeur corrompu, rendant l’exécution de code possible dans des conditions favorables. Security Online et Cyber Press décrivent cela comme un chemin vers l’exécution de code arbitraire, tout en notant que les systèmes avec moins de mémoire peuvent plutôt voir des résultats de déni de service.
Le PoC public CVE-2026-48095 augmente encore le profil de risque. Security Online déclare que le chercheur a publié gen_ntfs_sparse.py, un script Python qui génère une image NTFS clairsemée conçue pour déclencher la faille. En pratique, la charge utile CVE-2026-48095 est une image d’archive spécialement conçue plutôt qu’un exécutable déposé, ce qui correspond aux scénarios courants d’ingénierie sociale où une victime est attirée à ouvrir ce qui semble être un fichier compressé inoffensif.
D’un point de vue opérationnel, CVE-2026-48095 affecte les systèmes où les utilisateurs ouvrent des fichiers d’archives non fiables avec des builds 7-Zip vulnérables. L’avis coordonné a spécifiquement testé 26.00, tandis que des rapports ultérieurs notent que la logique de dimensionnement affectée est antérieure à cette version, ce qui suggère que le bug a pu exister plus longtemps que la seule version testée.
Atténuation de CVE-2026-48095
La réponse principale est de mettre à jour immédiatement vers 7-Zip 26.01 ou plus. La chronologie de divulgation de GitHub Security Lab montre que la correction a été expédiée le 27 avril 2026, et l’historique officiel de 7-Zip confirme que la version 26.01 a été publiée à cette date avec des corrections de bugs.
Pour une détection pratique de CVE-2026-48095, les organisations doivent identifier les points de terminaison exécutant 7-Zip 26.00, examiner les environnements où les utilisateurs décompressent fréquemment des archives d’origine externe, et prioriser les systèmes utilisés pour le tri par email, les téléchargements, l’analyse de malware, ou la gestion administrative des fichiers compressés. Étant donné que le chemin d’exploitation est axé sur le fichier, le premier pas le plus utile est la validation des actifs et des versions plutôt que la chasse au réseau.
Il n’y a pas d’IOCs CVE-2026-48095 publiés par les fournisseurs dans les documents cités, donc les équipes essayant de détecter CVE-2026-48095 devraient se concentrer sur l’activité d’ouverture d’archives suspectes, les plantages impliquant 7-Zip autour de contenu de type NTFS, et les flux de travail utilisateurs où les extensions d’archives déguisées pourraient atteindre le gestionnaire vulnérable. En l’absence d’une télémétrie plus solide, le patch et la prudence des utilisateurs restent les défenses les plus fiables.
FAQ
Qu’est-ce que CVE-2026-48095 et comment fonctionne-t-il ?
Il s’agit d’un débordement d’écriture dans le tampon de tas dans le gestionnaire d’archives NTFS de 7-Zip. Une image NTFS spécialement conçue peut déclencher un comportement indéfini dans le calcul de la taille du tampon, provoquant la mauvaise allocation de mémoire par le programme et ensuite l’écrasement des données du tas adjacentes pendant le traitement de l’archive.
Quand CVE-2026-48095 a-t-il été découvert pour la première fois ?
GitHub Security Lab affirme que le problème a été signalé en privé le 24 avril 2026, et la version corrigée 7-Zip 26.01 a été expédiée le 27 avril 2026. L’avis public a été publié le 22 mai 2026.
Quel est l’impact de CVE-2026-48095 sur les systèmes ?
L’impact le plus sérieux est l’exécution de code arbitraire potentiel par détournement de table virtuelle. Selon la plateforme et les conditions de mémoire, la faille peut également provoquer des plantages d’applications ou un déni de service.
CVE-2026-48095 peut-il encore m’affecter en 2026 ?
Oui. Les systèmes peuvent encore être exposés en 2026 s’ils continuent d’exécuter des builds 7-Zip vulnérables et que les utilisateurs ouvrent des fichiers d’archives contrôlés par l’attaquant. Le risque est plus élevé dans les environnements où les fichiers provenant d’emails, de téléchargements ou de soumissions externes sont régulièrement décompressés.
Comment puis-je me protéger de CVE-2026-48095 ?
Mettez à jour vers 7-Zip 26.01 ou ultérieur, réduisez l’utilisation d’outils d’archivage obsolètes, et traitez les archives inattendues provenant de sources non fiables comme potentiellement malveillantes même lorsqu’elles semblent utiliser des extensions de fichier courantes.
