7-Zip重大漏洞CVE-2026-48095修補NTFS映像檔堆積緩衝區溢位
7-Zip 發布 26.01 版,修補 CVE-2026-48095(CVSS 8.8),攻擊者可透過特製 NTFS 映像檔觸發堆積緩衝區溢位,在記憶體 16GB 以上系統執行任意程式碼。
漏洞細節
| 項目 | 內容 |
|---|---|
| CVE | CVE-2026-48095 |
| CVSS | 8.8(重大) |
| 類型 | Heap Buffer Overflow |
| 影響版本 | 7-Zip 26.00 及以前所有版本 |
| 修補版本 | 26.01 |
| 發現者 | GitHub Security Lab (GHSL-2026-140) |
關鍵風險
7-Zip 依據檔案簽章(非副檔名)判斷並啟動 NTFS 處理流程,惡意檔案無須使用 .ntfs 或 .img 等副檔名,可偽裝為任意附檔名,用戶僅需開啟即可觸發漏洞。
建議行動
立即更新至 7-Zip 26.01 版。