팔로우 
7-Zip의 CVE-2026-48095는 악성 아카이브 처리와 사용자 기반의 악용에 대한 새로운 우려를 불러일으켰습니다. GitHub Security Lab에 따르면 이 취약점은 7-Zip의 NTFS 아카이브 핸들러에서 발생하는 힙 버퍼 쓰기 오버플로우이며, 버전 26.00에 영향을 미치며 임의 코드 실행이나 애플리케이션 충돌로 이어질 가능성이 있습니다. 이 문제는 2026년 4월 27일에 출시된 7-Zip 26.01에서 수정되었습니다.
이 버그는 특히 위험한데, 잘못된 파일은 취약한 핸들러에 도달하기 위해 전용 NTFS 파일 확장을 사용할 필요가 없기 때문입니다. 공개 보고에 따르면 7-Zip의 서명 기반 폴백 로직은 .7z, .zip 또는 .rar 같은 확장자가 있는 조작된 파일을 다른 핸들러가 실패한 후 NTFS 파서로 보낼 수 있어 피싱 및 사회공학적 배달을 위한 실제 공격 표면이 확장된다고 합니다.
방어자들 입장에서 CVE-2026-48095의 가장 중요한 세부 사항은 영향을 받는 버전, 아카이브 파싱 트리거, 그리고 공개 된 익스플로잇 자료의 존재입니다. GitHub Security Lab에 따르면 연구자 Jaroslav Lobačevski가 2026년 4월 24일에 이 문제를 비공개로 보고했으며, 이후의 공개 문서에서는 작동하는 파이썬 생성기가 권고와 함께 발표되었다고 확인했습니다.
CVE-2026-48095 분석
기술적으로, 결함은 CInStream::GetCuSize() 내부의 NTFS 압축 스트림 버퍼의 언더 할당 버그에서 비롯되었습니다. GitHub Security Lab은 조작된 NTFS 이미지가 버퍼 크기 조정을 위한 시프트 표현을 32 지수로 강제할 수 있으며, 이는 C++에서 정의되지 않은 동작을 유발하고 _inBuf가 단지 1바이트로 할당되는 결과를 낳는다고 설명합니다. 그 후의 읽기 작업은 공격자가 제어하는 데이터를 그 작은 버퍼에 쓰게 되어 전형적인 힙 오버플로우 조건을 만듭니다.
오버플로우는 인접한 힙 레이아웃이 공격자가 스트림 객체의 vtable 포인터를 조작할 수 있도록 허용하여 악용 가능합니다. 공개 분석에 따르면 첫 번째 읽기가 몇 백 바이트만으로 vtable을 덮어 쓸 수 있으며, 두 번째 읽기는 손상된 포인터를 통해 실행을 전개하여 유리한 조건에서 코드 실행을 가능하게 만듭니다. Security Online과 Cyber Press는 이를 임의 코드 실행 경로로 설명하면서, 저메모리 시스템에서는 서비스 거부 결과가 나타날 수 있다고 지적합니다.
공개된 CVE-2026-48095 PoC는 위험 프로파일을 더욱 높입니다. Security Online에서는 연구자가 이 결함을 유발하도록 설계된 NTFS 스파스 이미지를 생성하는 gen_ntfs_sparse.py라는 파이썬 스크립트를 릴리스했다고 합니다. 실질적으로, CVE-2026-48095 페이로드는 드랍된 실행 파일이 아닌 특별히 조작된 아카이브 이미지로, 피해자를 무해해 보이는 압축 파일을 열도록 유도하는 일반적인 사회공학적 시나리오에 맞습니다.
운영 관점에서 CVE-2026-48095는 사용자가 취약한 7-Zip 빌드를 통해 신뢰할 수 없는 아카이브 파일을 여는 시스템에 영향을 미칩니다. 협조된 권고에서는 특히 26.00을 테스트했으며, 이후 보고에 따르면 영향받은 크기 조정 로직은 그 릴리스 이전에도 있었던 것으로 제안되어, 버그는 테스트된 버전보다 더 오래 존재했을 수 있습니다.
CVE-2026-48095 완화 방법
주요 대응책은 즉시 7-Zip 26.01 이상으로 업그레이드하는 것입니다. GitHub Security Lab의 공개 일정은 수정이 2026년 4월 27일에 배포되었음을 나타내며, 7-Zip의 공식 이력은 해당 날짜에 버전 26.01이 버그 수정과 함께 릴리스되었음을 확인합니다.
실용적인 CVE-2026-48095 탐지를 위해, 조직은 7-Zip 26.00을 실행하는 엔드포인트를 식별하고, 사용자가 외부 제공 아카이브를 자주 압축 해제하는 환경을 검토하며, 이메일 분류, 다운로드, 악성코드 분석 또는 압축된 파일의 관리 처리를 위한 시스템을 우선시해야 합니다. 악용 경로가 파일 기반이기 때문에 가장 유용한 첫 번째 단계는 네트워크 헌팅보다 자산 및 버전 검증입니다.
인용된 자료에는 공개된 공급업체의 CVE-2026-48095 IOC가 없으므로, CVE-2026-48095를 탐지하려는 팀은 의심스러운 아카이브 열기 활동, NTFS 유사 콘텐츠 주변의 7-Zip 충돌, 위장된 아카이브 확장자가 취약한 핸들러에 도달할 수 있는 사용자 워크플로에 집중해야 합니다. 강력한 원격 측정이 없는 경우 패치 및 사용자 주의가 가장 신뢰할 수 있는 방어책으로 남아 있습니다.
FAQ
CVE-2026-48095는 무엇이며 어떻게 작동합니까?
이는 7-Zip의 NTFS 아카이브 핸들러의 힙 버퍼 쓰기 오버플로우입니다. 조작된 NTFS 이미지는 버퍼 크기 계산에서 정의되지 않은 동작을 유발할 수 있으며, 이는 프로그램이 너무 적은 메모리를 할당하고 아카이브 처리 중 인접한 힙 데이터를 덮어쓰게 만듭니다.
CVE-2026-48095는 언제 처음 발견되었습니까?
GitHub Security Lab에 따르면 이 문제는 2026년 4월 24일에 비공개로 보고되었으며, 수정된 7-Zip 26.01 릴리스는 2026년 4월 27일에 배포되었습니다. 공개 권고는 2026년 5월 22일에 발표되었습니다.
CVE-2026-48095가 시스템에 미치는 영향은 무엇입니까?
가장 심각한 영향은 vtable 하이재킹을 통한 임의 코드 실행 가능성입니다. 플랫폼과 메모리 조건에 따라 이 결함은 애플리케이션 충돌이나 서비스 거부를 유발할 수도 있습니다.
CVE-2026-48095는 2026년에 여전히 영향을 미칠 수 있습니까?
예. 시스템은 취약한 7-Zip 빌드를 계속 실행하고 사용자들이 공격자가 제어하는 아카이브 파일을 열 경우 2026년에도 여전히 노출될 수 있습니다. 이메일, 다운로드 또는 외부 제출된 파일이 정기적으로 압축 해제되는 환경에서는 위험이 더 높습니다.
CVE-2026-48095로부터 자신을 어떻게 보호할 수 있습니까?
7-Zip 26.01 이상으로 업데이트하고, 구형 아카이브 도구의 사용을 줄이며, 신뢰할 수 없는 출처에서 받는 예상치 못한 아카이브를 일반적인 파일 확장자를 사용하더라도 잠재적으로 악성일 수 있다고 취급하십시오.
