A vulnerabilidade CVE-2026-48095 no 7-Zip permite executar código arbitrário no computador da vítima apenas ao abrir um arquivo compactado. Com pontuação CVSS 8.8, a falha afeta todas as versões anteriores à 26.01 e já motivou alerta oficial do governo brasileiro. Um heap overflow no parser NTFS corrompe a memória do processo sem necessidade de extração, transformando arquivos .7z, .zip e .rar em vetores de ataque silenciosos.
7-Zip executa código sem clicar
O problema está no parser de imagens NTFS. Um heap overflow permite que dados controlados pelo atacante sejam escritos em um buffer de apenas 1 byte, corrompendo a memória do processo. A exploração não exige extração — basta abrir o arquivo. Extensões .7z, .zip e .rar podem acionar o parser NTFS malicioso sem que o usuário perceba a diferença. O 7-Zip não possui atualização automática, o que significa que milhões de máquinas correm o risco de permanecer vulneráveis por meses ou anos.
Como a falha funciona
O pesquisador Jaroslav Lobačevski, do GitHub Security Lab, identificou o bug na função CInStream::GetCuSize(), dentro do handler NTFS do 7-Zip. Essa função calcula o tamanho do buffer de descompressão usando uma operação de bit shift em 32 bits.
Quando uma imagem NTFS maliciosa define ClusterSizeLog maior ou igual a 28 e CompressionUnit igual a 4, o expoente do shift chega a 32 — comportamento indefinido em C++. O buffer é alocado com apenas 1 byte. Em seguida, ReadStream_FALSE escreve até 256 MB de dados controlados pelo atacante dentro desse espaço, gerando um overflow massivo que corrompe estruturas adjacentes na heap.
O 7-Zip identifica arquivos pelos bytes iniciais, não pela extensão. Uma imagem NTFS maliciosa embutida em um .7z, .zip ou .rar é processada normalmente pelo parser vulnerável, ampliando a superfície de ataque para além do que a maioria dos usuários imagina. A SOC Prime detalhou que o overflow corrompe o ponteiro de vtable do objeto de stream, permitindo que o atacante redirecione a execução do programa. Um gerador funcional em Python foi liberado junto com o advisory, tornando a exploração acessível para atacantes com conhecimento intermediário.
Ficha técnica: CVE-2026-48095
| Dado | Detalhe |
|---|---|
| CVE | CVE-2026-48095 |
| CVSS | 8.8 (Alta) |
| Tipo | Heap Buffer Write Overflow / RCE |
| Versões afetadas | 7-Zip anteriores à 26.01 |
| Plataformas | Windows, Linux (p7zip), macOS |
| Interação | Baixa — basta abrir o arquivo |
| RAM mínima (x64) | ≥ 16 GB |
| Patch | Versão 26.01 (abril de 2026) |
| Descobridor | Jaroslav Lobačevski (GitHub Security Lab) |
Quem está exposto no Brasil
O alerta do CSIRT do SISP (Gov.br/CISC) é explícito: órgãos e entidades do governo federal que operam o utilitário em estações Windows ou servidores Linux estão em risco direto. A ameaça se estende a qualquer software que incorpore bibliotecas do 7-Zip internamente — antivírus, ferramentas de backup, pipelines de CI/CD e sistemas de análise de logs. No Brasil, o 7-Zip é um dos descompactadores mais populares tanto em ambientes corporativos quanto em uso doméstico.
Ambientes com processamento automatizado de arquivos compactados e privilégios elevados representam o cenário mais perigoso. Nesses casos, a exploração ocorre sem qualquer interação humana, configurando vetor de alta severidade para infraestrutura crítica. O CSIRT confirmou que o pacote p7zip desatualizado está presente no Ubuntu 24, Ubuntu 26 e RHEL 8 — distribuições amplamente usadas em servidores brasileiros, incluindo os de órgãos públicos.
Para o usuário final, o principal problema é a ausência de atualização automática. Diferente do navegador ou do sistema operacional, o 7-Zip precisa ser corrigido manualmente. Milhões de máquinas no Brasil rodam versões antigas sem que os donos tenham conhecimento da vulnerabilidade. Em redes corporativas, o risco se multiplica: um único arquivo malicioso compartilhado por e-mail ou sistema de arquivos pode comprometer estações de trabalho inteiras.
O que fazer agora
A correção está disponível desde abril de 2026 na versão 26.01 do 7-Zip. O CSIRT brasileiro recomenda uma abordagem em cinco etapas, priorizando ambientes automatizados:
- Atualizar imediatamente o 7-Zip para a versão 26.01 ou superior em todas as estações Windows e servidores Linux.
- Inventariar todas as instâncias do 7-Zip e p7zip, incluindo scripts de automação, imagens Docker e softwares de terceiros que usam a biblioteca internamente.
- Distribuir a correção via ferramentas de gerenciamento — SCCM, WSUS, Ansible ou gerenciadores de pacotes Linux (apt, yum, dnf). O 7-Zip não atualiza sozinho.
- Priorizar ferramentas automatizadas que processam arquivos compactados com privilégios elevados — antivírus, scanners de segurança e sistemas de backup são os vetores de maior risco.
- Monitorar logs do SIEM em busca de execuções anômalas do binário
7zoup7zip, especialmente com escalada de privilégios ou horários fora do padrão operacional.
A inação é o maior risco. Um utilitário tão disseminado quanto o 7-Zip, com um exploit público disponível em Python e sem atualização automática, é exatamente o tipo de ferramenta que atacantes miram em campanhas de phishing direcionadas. O patch existe e é gratuito. Quem não corrigir agora pode pagar o preço em breve, com o controle do computador entregue a terceiros sem nenhum clique além da abertura do arquivo.
Leia também
Para entender o contexto de outras falhas críticas recentes em ferramentas amplamente usadas, confira os artigos BeyondTrust: falha crítica dá controle total sem senha e Rogue Agent: IA da Google tinha falha que roubava conversas.
Referências
- CSIRT do SISP — Vulnerabilidade Crítica de Execução de Código no 7-Zip (CVE-2026-48095)
- GitHub Security Lab — GHSL-2026-140: Heap Buffer Write Overflow in 7-Zip
- SOC Prime — CVE-2026-48095: 7-Zip Heap Buffer Overflow Can Lead to Code Execution
- Tom’s Hardware — Wide-ranging 7-Zip vulnerability with 8.8 CVE rating
- Penligent — 7-Zip CVE-2026-48095, From MotW Bypass to Archive Parser RCE