Seguir 
CVE-2026-48095 no 7-Zip levantou novas preocupações em torno do manuseio de arquivos maliciosos e a exploração impulsionada pelo usuário. De acordo com o GitHub Security Lab, a falha é um estouro de buffer de escrita de heap no manipulador de arquivo NTFS do 7-Zip que afeta a versão 26.00 e pode potencialmente levar à execução de código arbitrário ou a falhas na aplicação. O problema foi corrigido no 7-Zip 26.01, lançado em 27 de abril de 2026.
O bug é especialmente perigoso porque o arquivo malformado não precisa usar uma extensão de arquivo NTFS dedicada para alcançar o manipulador vulnerável. Relatórios públicos dizem que o mecanismo de fallback baseado em assinatura do 7-Zip pode encaminhar um arquivo manipulado com extensões como .7z, .zip ou .rar para o analisador NTFS, após falha de outros manipuladores, ampliando a superfície prática de ataque para phishing e entrega por engenharia social.
Para os defensores, os detalhes mais importantes para CVE-2026-48095 são a versão afetada, o disparador de análise de arquivo e a existência de material de exploração pública. O GitHub Security Lab diz que o pesquisador Jaroslav Lobačevski relatou o problema de forma privada em 24 de abril de 2026, enquanto relatórios públicos posteriores confirmaram que um gerador Python funcional foi lançado juntamente com o comunicado.
Análise do CVE-2026-48095
No nível técnico, a falha origina-se de um bug de subalokação no buffer de fluxo comprimido NTFS, dentro de CInStream::GetCuSize(). O GitHub Security Lab explica que uma imagem NTFS manipulada pode forçar a expressão de deslocamento usada para dimensionamento de buffer a atingir um expoente de 32, o que provoca um comportamento indefinido em C++ e deixa _inBuf alocado com apenas 1 byte. A próxima operação de leitura, então, escreve dados controlados pelo invasor nesse buffer minúsculo, criando uma condição clássica de estouro de heap.
Esse estouro torna-se explorável porque o layout do heap adjacente permite que o atacante corrompa o ponteiro vtable do objeto de fluxo. Análises públicas dizem que a primeira leitura pode sobrescrever a vtable após apenas algumas centenas de bytes, enquanto a segunda leitura inicia a execução através do ponteiro corrompido, tornando a execução de código viável em condições favoráveis. Security Online e Cyber Press descrevem isso como um caminho para a execução de código arbitrário, embora também notem que sistemas com menos memória podem ver resultados de negação de serviço.
O PoC público do CVE-2026-48095 aumenta ainda mais o perfil de risco. Security Online afirma que o pesquisador lançou gen_ntfs_sparse.py, um script Python que gera uma imagem NTFS esparsa projetada para acionar a falha. Na prática, o payload do CVE-2026-48095 é uma imagem de arquivo especialmente manipulada, ao invés de um executável solto, o que se encaixa em cenários comuns de engenharia social onde uma vítima é atraída a abrir o que aparenta ser um arquivo compactado inofensivo.
Do ponto de vista operacional, o CVE-2026-48095 afeta sistemas onde os usuários abrem arquivos de arquivo não confiáveis com builds vulneráveis do 7-Zip. O aviso coordenado testou especificamente a versão 26.00, enquanto relatórios posteriores observam que a lógica de dimensionamento afetada é anterior a esse lançamento, sugerindo que o bug pode ter existido por mais tempo do que apenas a versão testada.
Mitigação do CVE-2026-48095
A resposta principal é atualizar imediatamente para o 7-Zip 26.01 ou posterior. A linha do tempo de divulgação do GitHub Security Lab mostra que a correção foi enviada em 27 de abril de 2026, e a história oficial do 7-Zip confirma que a versão 26.01 foi lançada nessa data com correções de bugs.
Para a detecção prática do CVE-2026-48095, as organizações devem identificar endpoints executando o 7-Zip 26.00, revisar os ambientes onde os usuários frequentemente desempacotam arquivos de origem externa, e priorizar sistemas usados para triagem de e-mail, downloads, análise de malware ou manuseio administrativo de arquivos compactados. Como o caminho de exploração é baseado em arquivo, o passo inicial mais útil é a validação de ativos e versões, em vez de caça na rede.
Não há IOCs do CVE-2026-48095 publicados por fornecedores nos materiais citados, então as equipes tentando detectar o CVE-2026-48095 devem se concentrar em atividades suspeitas de abertura de arquivos, falhas envolvendo o 7-Zip ao redor de conteúdo semelhante ao NTFS e fluxos de trabalho do usuário onde extensões de arquivo disfarçadas possam alcançar o manipulador vulnerável. Na ausência de telemetria mais forte, o patching e a cautela do usuário permanecem as defesas mais confiáveis.
FAQ
O que é o CVE-2026-48095 e como ele funciona?
É um estouro de buffer de escrita de heap no manipulador de arquivo NTFS do 7-Zip. Uma imagem NTFS manipulada pode acionar comportamento indefinido no cálculo do tamanho do buffer, fazendo com que o programa aloque pouca memória e depois sobrescreva dados adjacentes do heap durante o processamento do arquivo.
Quando o CVE-2026-48095 foi descoberto pela primeira vez?
O GitHub Security Lab diz que o problema foi relatado de forma privada em 24 de abril de 2026, e o lançamento fixo do 7-Zip 26.01 foi enviado em 27 de abril de 2026. O aviso público foi publicado em 22 de maio de 2026.
Qual é o impacto do CVE-2026-48095 nos sistemas?
O impacto mais sério é a potencial execução arbitrária de código através de sequestro de vtable. Dependendo da plataforma e das condições de memória, a falha também pode causar falhas de aplicativo ou negação de serviço.
O CVE-2026-48095 ainda pode me afetar em 2026?
Sim. Os sistemas ainda podem estar expostos em 2026 se continuarem executando builds vulneráveis do 7-Zip e os usuários abrirem arquivos de arquivos controlados por atacantes. O risco é maior em ambientes onde arquivos de e-mail, downloads ou submissões externas são rotineiramente desempacotados.
Como posso me proteger do CVE-2026-48095?
Atualize para o 7-Zip 26.01 ou posterior, reduza o uso de ferramentas de arquivamento desatualizadas e trate arquivos inesperados de fontes não confiáveis como potencialmente maliciosos, mesmo quando parecem usar extensões de arquivo comuns.
