Vulnerabilidade Crítica de Execução de Código no 7-Zip

Vulnerabilidade Crítica de Execução de Código no 7-Zip - CVE-2026-48095Severidade: ALTA - Patch disponível. Atualização imediata necessária.

Publicado em 02/06/2026 11:43
Compartilhe:

O utilitário de compactação de arquivos 7-Zip, amplamente utilizado em estações de trabalho e servidores de órgãos do SISP, possui uma vulnerabilidade crítica que permite a execução de código arbitrário. A falha é acionada apenas pela abertura de um arquivo compactado malicioso (.7z, .zip, .rar, entre outros) sem necessidade de extração. Além do aplicativo gráfico, pipelines de CI/CD, ferramentas de backup, antivírus e qualquer software que utilize bibliotecas 7-Zip internamente estão expostos. A correção está disponível na versão 26.01.

DESTINATÁRIOS

Órgãos e entidades do SISP que operam ambientes com o utilitário 7-Zip instalado em estações Windows ou servidores Linux (pacote p7zip), bem como aqueles que utilizam pipelines de CI/CD, soluções de backup automatizado, ferramentas de análise de logs ou softwares de terceiros que incorporem bibliotecas 7-Zip.

DESCRIÇÃO TÉCNICA

CVE-2026-48095 — Heap Overflow / RCE no 7-Zip

  • Tipo: Heap Overflow — Execução Remota de Código (RCE).
  • Produto: 7-Zip, todas as versões anteriores à 26.01.
  • Plataformas: Windows, Linux (p7zip), macOS.
  • Interação necessária: Baixa, basta abrir um arquivo compactado.
  • Status do patch: PATCH DISPONÍVEL, versão 26.01 (lançada em abril/2026).
  • Exploração ativa confirmada: Não confirmada até a data deste alerta.

Mecanismo: A vulnerabilidade reside no módulo do 7-Zip responsável pelo processamento de imagens de disco NTFS (.ntfs, .img). Um heap overflow no parser NTFS permite ao atacante fornecer valores incorretos para um buffer, tornando-o maior que o previsto e possibilitando a inserção de código malicioso. O 7-Zip identifica o tipo de arquivo pelos primeiros bytes, não pela extensão. Portanto, uma imagem NTFS maliciosa embutida em um .7z, .zip ou .rar aciona a vulnerabilidade normalmente. O sistema-alvo precisa ter 16 GB de RAM ou mais para que a exploração seja bem-sucedida.

Além do aplicativo gráfico Windows, estão igualmente expostos:

  • Pipelines de CI/CD e scripts que invocam o binário 7z, mesmo apenas para listar conteúdo;
  • Ferramentas de antivírus, backup e análise de logs que processam arquivos automaticamente, frequentemente com privilégios elevados;
  • Servidores Linux com o pacote p7zip desatualizado (confirmados: Ubuntu 24, Ubuntu 26, RHEL 8);
  • Imagens Docker com versões antigas do 7-Zip ou p7zip;
  • Softwares de terceiros com bibliotecas 7-Zip embutidas.

IMPACTO

A exploração bem-sucedida permite que um agente malicioso execute código arbitrário com os privilégios do processo que abriu o arquivo. Em ambientes onde ferramentas automatizadas processam arquivos compactados com permissões elevadas, como pipelines de CI/CD, soluções de backup ou antivírus, a exploração pode ocorrer sem qualquer interação do usuário final, configurando vetor de ataque de alta severidade para a infraestrutura dos órgãos.

Impactos potenciais incluem:

  • Execução remota de código com os privilégios do processo afetado.
  • Comprometimento de pipelines de CI/CD e ambientes de desenvolvimento.
  • Acesso não autorizado a dados processados por ferramentas de backup e análise.
  • Movimentação lateral e persistência no ambiente comprometido.

AÇÕES RECOMENDADAS

Ação imediata:

  • Atualizar o 7-Zip para a versão 26.01 ou superior em todas as estações Windows e servidores. Download disponível em: https://www.7-zip.org/download.html. O 7-Zip não possui atualização automática, a distribuição deve ser realizada via SCCM, WSUS, Ansible ou gerenciador de pacotes Linux (apt/yum/dnf).

Inventário e identificação:

  • Levantar todas as instâncias do 7-Zip e p7zip no parque tecnológico, incluindo estações Windows, servidores Linux, pipelines, scripts, imagens Docker e softwares de terceiros com bibliotecas 7-Zip embutidas.

Monitoramento:

  • Monitorar SIEM e logs do sistema em busca de execuções anômalas associadas ao binário 7z ou p7zip, especialmente com escalada de privilégios ou em horários fora do padrão.

REFERÊNCIAS

Pesquisa técnica

  • GitHub Security Lab (7-Zip): https://securitylab.github.com/advisories/GHSL-2026-140_7-Zip/
  • SOC Prime - CVE-2026-48095 Heap Overflow Flaw: https://socprime.com/blog/cve-2026-48095-7-zip-heap-overflow-flaw/

Imprensa técnica especializada

  • Tom's Hardware (28 mai. 2026): https://www.tomshardware.com/tech-industry/cyber-security/wide-ranging-7-zip-vulnerability-with-8-8-cve-rating-allows-for-code-execution-hundreds-of-millions-of-machines-potentially-at-risk
Compartilhe: