Impatto Sistemico

Critico (77.94)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-48095 – già sanata dal vendor – presente in 7-Zip, nota applicazione open source per la gestione degli archivi compressi.

Tipologia

Arbitrary Code Execution

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-48095 – di tipo “ Heap Buffer Overflow ” e con CVSS v3.1 pari a 8.8. In dettaglio, un utente malintenzionato, tramite un archivio compresso malevolo contenente una struttura NTFS opportunamente predisposta, potrebbe sfruttare un meccanismo di allocazione della memoria inadeguato nel modulo GetCuSize() e scrivere dati al di fuori del buffer. Lo sfruttamento di tale vulnerabilità consente all’attaccante di eseguire codice arbitrario sul sistema target.

Prodotti e/o versioni affette

7-Zip, versioni precedenti alla 26.01

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.