Segui 
CVE-2026-48095 in 7-Zip ha sollevato nuove preoccupazioni riguardo alla gestione di archivi dannosi e all’exploit guidato dall’utente. Secondo GitHub Security Lab, la falla è un overflow del buffer di scrittura nell’handler dell’archivio NTFS di 7-Zip che interessa la versione 26.00 e può potenzialmente portare all’esecuzione arbitraria di codice o al crash dell’applicazione. Il problema è stato risolto in 7-Zip 26.01, rilasciato il 27 aprile 2026.
Il bug è particolarmente pericoloso perché il file malformato non necessita di utilizzare un’estensione di file NTFS dedicata per raggiungere l’handler vulnerabile. Il reporting pubblico afferma che la logica di fallback basata su firma di 7-Zip può indirizzare un file creato con estensioni come .7z, .zip o .rar nel parser NTFS dopo che altri handler falliscono, ampliando la superficie di attacco pratica per il phishing e la consegna tramite social engineering.
Per i difensori, i dettagli più importanti per CVE-2026-48095 sono la versione interessata, il trigger di analisi dell’archivio e l’esistenza di materiale di exploit pubblico. GitHub Security Lab afferma che il ricercatore Jaroslav Lobačevski ha riportato privatamente il problema il 24 aprile 2026, mentre successivi documenti pubblici hanno confermato che un generatore funzionante in Python è stato rilasciato insieme all’avviso.
Analisi di CVE-2026-48095
A livello tecnico, la falla deriva da un bug di sotto-allocazione nel buffer di stream compresso NTFS, all’interno di CInStream::GetCuSize(). GitHub Security Lab spiega che un’immagine NTFS creata può forzare l’espressione di shift utilizzata per la dimensione del buffer a raggiungere un esponente di 32, che attiva un comportamento indefinito in C++ e lascia _inBuf allocato come un solo byte. La prossima operazione di lettura scrive quindi dati controllati dall’attaccante in quel minuscolo buffer, creando una classica condizione di overflow del heap.
Quell’overflow diventa sfruttabile perché la disposizione adiacente del heap permette all’attaccante di corrompere il puntatore vtable dell’oggetto stream. L’analisi pubblica afferma che la prima lettura può sovrascrivere la vtable dopo solo poche centinaia di byte, mentre la seconda lettura invia l’esecuzione attraverso il puntatore corrotto, rendendo praticabile l’esecuzione di codice in condizioni favorevoli. Security Online e Cyber Press descrivono ciò come un percorso verso l’esecuzione arbitraria di codice, notando anche che su sistemi con meno memoria si potrebbero vedere esiti di denial-of-service.
Il PoC pubblico di CVE-2026-48095 aumenta ulteriormente il profilo di rischio. Security Online afferma che il ricercatore ha rilasciato gen_ntfs_sparse.py, uno script Python che genera un’immagine NTFS sparsa progettata per attivare la falla. In pratica, il payload di CVE-2026-48095 è un’immagine di archivio specificamente creata piuttosto che un eseguibile scaricato, che si adatta a scenari comuni di social-engineering dove una vittima è indotta ad aprire ciò che sembra essere un file compresso innocuo.
Da una prospettiva operativa, CVE-2026-48095 interessa i sistemi dove gli utenti aprono file d’archivio non attendibili con build vulnerabili di 7-Zip. L’avviso coordinato ha specificamente testato la versione 26.00, mentre rapporti successivi notano che la logica di dimensionamento affetta precede quel rilascio, suggerendo che il bug potrebbe essere esistito più a lungo della sola versione testata.
Mitigazione di CVE-2026-48095
La risposta primaria è aggiornare immediatamente a 7-Zip 26.01 o successivi. La timeline di divulgazione di GitHub Security Lab mostra che la patch è stata spedita il 27 aprile 2026, e la storia ufficiale di 7-Zip conferma che la versione 26.01 è stata rilasciata in quella data con correzioni di bug.
Per una rilevazione pratica di CVE-2026-48095, le organizzazioni dovrebbero identificare gli endpoint che eseguono 7-Zip 26.00, rivedere gli ambienti dove gli utenti scompattano frequentemente archivi provenienti da fonti esterne, e dare priorità ai sistemi utilizzati per la gestione della posta elettronica, i download, l’analisi del malware o la gestione amministrativa dei file compressi. Poiché il percorso di exploit è guidato dai file, il primo passo più utile è la validazione delle risorse e delle versioni piuttosto che la ricerca nella rete.
Non ci sono IOCs pubblicati dal fornitore per CVE-2026-48095 nei materiali citati, quindi i team che tentano di rilevare CVE-2026-48095 dovrebbero concentrarsi sull’attività sospetta di apertura di archivi, crash che coinvolgono 7-Zip con contenuti simili a NTFS e flussi di lavoro degli utenti in cui estensioni di archivi mascherate potrebbero raggiungere l’handler vulnerabile. In assenza di una telemetria più solida, l’applicazione delle patch e la cautela degli utenti restano le difese più affidabili.
FAQ
Cos’è CVE-2026-48095 e come funziona?
È un overflow del buffer di scrittura nell’handler dell’archivio NTFS di 7-Zip. Un’immagine NTFS creata può attivare un comportamento indefinito nel calcolo della dimensione del buffer, causando l’allocazione di memoria insufficiente da parte del programma e sovrascrivendo successivamente i dati del heap adiacenti durante la gestione dell’archivio.
Quando è stato scoperto per la prima volta CVE-2026-48095?
GitHub Security Lab afferma che il problema è stato riportato privatamente il 24 aprile 2026 e la versione fissa 7-Zip 26.01 è stata distribuita il 27 aprile 2026. L’avviso pubblico è stato pubblicato il 22 maggio 2026.
Qual è l’impatto di CVE-2026-48095 sui sistemi?
L’impatto più grave è l’eventuale esecuzione arbitraria di codice tramite hijacking della vtable. A seconda della piattaforma e delle condizioni di memoria, la falla può anche causare crash dell’applicazione o negazione del servizio.
CVE-2026-48095 può ancora influenzarmi nel 2026?
Sì. I sistemi possono essere ancora esposti nel 2026 se continuano a eseguire build vulnerabili di 7-Zip e gli utenti aprono file d’archivio controllati dagli attaccanti. Il rischio è maggiore in ambienti dove i file provenienti da e-mail, download o invii esterni vengono routinariamente scompattati.
Come posso proteggermi da CVE-2026-48095?
Aggiorna a 7-Zip 26.01 o versioni successive, riduci l’uso di strumenti di archiviazione obsoleti e tratta gli archivi inaspettati da fonti non attendibili come potenzialmente dannosi anche quando sembrano utilizzare estensioni di file comuni.
