7-Zip重大漏洞CVE-2026-48095修補NTFS映像檔堆積緩衝區溢位

7-Zip 發布 26.01 版,修補 CVE-2026-48095(CVSS 8.8),攻擊者可透過特製 NTFS 映像檔觸發堆積緩衝區溢位,在記憶體 16GB 以上系統執行任意程式碼。

漏洞細節

項目內容
CVECVE-2026-48095
CVSS8.8(重大)
類型Heap Buffer Overflow
影響版本7-Zip 26.00 及以前所有版本
修補版本26.01
發現者GitHub Security Lab (GHSL-2026-140)

關鍵風險

7-Zip 依據檔案簽章(非副檔名)判斷並啟動 NTFS 處理流程,惡意檔案無須使用 .ntfs 或 .img 等副檔名,可偽裝為任意附檔名,用戶僅需開啟即可觸發漏洞。

建議行動

立即更新至 7-Zip 26.01 版。

來源文章