CVE-2026-48095: Falha crítica de heap overflow no 7-Zip permite execução remota de código

Falha de alta gravidade expõe milhões de usuários do 7-Zip

Uma vulnerabilidade crítica descoberta no popular compactador de arquivos 7-Zip coloca em risco qualquer sistema que rode a versão 26.00 do software. Catalogada como CVE-2026-48095 e classificada com pontuação CVSS 3.1 de 8.8, a falha consiste em um estouro de buffer na região de heap que pode ser explorado por um agente malicioso para executar código arbitrário na máquina da vítima — bastando que ela abra um arquivo compactado especialmente construído para esse fim.

A raiz técnica do problema

A vulnerabilidade reside na função CInStream::GetCuSize(), localizada no arquivo NtfsHandler.cpp, responsável pelo processamento interno de streams em imagens de sistema de arquivos NTFS. O problema surge quando um arquivo malicioso define os parâmetros ClusterSizeLog com valor igual ou superior a 28 em combinação com CompressionUnit igual a 4: nessa condição, a operação de deslocamento de bits (bit shift) atinge o expoente 32, provocando comportamento indefinido no padrão C++ e levando o código a alocar internamente um buffer de apenas 1 byte. Em seguida, a rotina ReadStream_FALSE tenta gravar até 256 megabytes de dados totalmente controlados pelo atacante nessa região minúscula, corrompendo o ponteiro de vtable do objeto stream já nos primeiros 304 bytes sobrescritos. O resultado prático é o sequestro completo do fluxo de execução do processo — técnica conhecida como vtable hijacking.

Superfície de ataque é mais ampla do que parece

O que torna o CVE-2026-48095 particularmente preocupante é o fato de o vetor de ataque não estar limitado a um único tipo de arquivo. O manipulador NTFS vulnerável é acionado independentemente da extensão do arquivo: arquivos .7z, .zip, .rar e até arquivos sem extensão alguma podem disparar o parser defeituoso. Esse comportamento agnóstico em relação à extensão amplia drasticamente a superfície exposta — qualquer ponto de entrada que aceite arquivos compactados, como clientes de e-mail, plataformas de download ou ferramentas de análise forense, torna-se um vetor potencial. Tanto compilações de 32 bits quanto de 64 bits são afetadas.

Prova de conceito pública eleva o nível de urgência

A falha foi identificada por Jaroslav Lobačevski, pesquisador do GitHub Security Lab, que desenvolveu e divulgou publicamente um script de prova de conceito em Python chamado gen_ntfs_sparse.py, capaz de gerar imagens NTFS esparsas especialmente formatadas para acionar a vulnerabilidade. A existência de um exploit funcional e acessível reduz significativamente a barreira técnica para exploração, elevando o risco operacional para organizações que ainda não aplicaram a correção. O aviso de segurança foi corroborado por publicações especializadas como SecurityOnline, CybersecurityNews e Gridinsoft, além de um comunicado oficial emitido pela Universidade de York.

Atualização imediata é a única mitigação efetiva

A equipe do 7-Zip lançou a versão 26.01 em 27 de abril de 2026, corrigindo a falha em NtfsHandler.cpp. Administradores de sistemas e usuários finais devem priorizar a atualização imediata, especialmente em ambientes onde o 7-Zip é utilizado para processar arquivos recebidos de fontes externas. Enquanto a atualização não for aplicada, recomenda-se evitar abrir arquivos compactados provenientes de origens não verificadas e monitorar atividades suspeitas associadas à abertura de arquivos. O 7-Zip pode ser baixado diretamente do site oficial do projeto em 7-zip.org.

Fonte original: SOC Prime — CVE-2026-48095: 7-Zip Heap Overflow Flaw