A vulnerabilidade CVE-2026-48095 no 7-Zip permite executar código arbitrário no computador da vítima apenas ao abrir um arquivo compactado. Com pontuação CVSS 8.8, a falha afeta todas as versões anteriores à 26.01 e já motivou alerta oficial do governo brasileiro. Um heap overflow no parser NTFS corrompe a memória do processo sem necessidade de extração, transformando arquivos .7z, .zip e .rar em vetores de ataque silenciosos.

7-Zip executa código sem clicar

O problema está no parser de imagens NTFS. Um heap overflow permite que dados controlados pelo atacante sejam escritos em um buffer de apenas 1 byte, corrompendo a memória do processo. A exploração não exige extração — basta abrir o arquivo. Extensões .7z, .zip e .rar podem acionar o parser NTFS malicioso sem que o usuário perceba a diferença. O 7-Zip não possui atualização automática, o que significa que milhões de máquinas correm o risco de permanecer vulneráveis por meses ou anos.

Como a falha funciona

O pesquisador Jaroslav Lobačevski, do GitHub Security Lab, identificou o bug na função CInStream::GetCuSize(), dentro do handler NTFS do 7-Zip. Essa função calcula o tamanho do buffer de descompressão usando uma operação de bit shift em 32 bits.

Quando uma imagem NTFS maliciosa define ClusterSizeLog maior ou igual a 28 e CompressionUnit igual a 4, o expoente do shift chega a 32 — comportamento indefinido em C++. O buffer é alocado com apenas 1 byte. Em seguida, ReadStream_FALSE escreve até 256 MB de dados controlados pelo atacante dentro desse espaço, gerando um overflow massivo que corrompe estruturas adjacentes na heap.

O 7-Zip identifica arquivos pelos bytes iniciais, não pela extensão. Uma imagem NTFS maliciosa embutida em um .7z, .zip ou .rar é processada normalmente pelo parser vulnerável, ampliando a superfície de ataque para além do que a maioria dos usuários imagina. A SOC Prime detalhou que o overflow corrompe o ponteiro de vtable do objeto de stream, permitindo que o atacante redirecione a execução do programa. Um gerador funcional em Python foi liberado junto com o advisory, tornando a exploração acessível para atacantes com conhecimento intermediário.

Ficha técnica: CVE-2026-48095

Dado Detalhe
CVE CVE-2026-48095
CVSS 8.8 (Alta)
Tipo Heap Buffer Write Overflow / RCE
Versões afetadas 7-Zip anteriores à 26.01
Plataformas Windows, Linux (p7zip), macOS
Interação Baixa — basta abrir o arquivo
RAM mínima (x64) ≥ 16 GB
Patch Versão 26.01 (abril de 2026)
Descobridor Jaroslav Lobačevski (GitHub Security Lab)

Quem está exposto no Brasil

O alerta do CSIRT do SISP (Gov.br/CISC) é explícito: órgãos e entidades do governo federal que operam o utilitário em estações Windows ou servidores Linux estão em risco direto. A ameaça se estende a qualquer software que incorpore bibliotecas do 7-Zip internamente — antivírus, ferramentas de backup, pipelines de CI/CD e sistemas de análise de logs. No Brasil, o 7-Zip é um dos descompactadores mais populares tanto em ambientes corporativos quanto em uso doméstico.

Ambientes com processamento automatizado de arquivos compactados e privilégios elevados representam o cenário mais perigoso. Nesses casos, a exploração ocorre sem qualquer interação humana, configurando vetor de alta severidade para infraestrutura crítica. O CSIRT confirmou que o pacote p7zip desatualizado está presente no Ubuntu 24, Ubuntu 26 e RHEL 8 — distribuições amplamente usadas em servidores brasileiros, incluindo os de órgãos públicos.

Para o usuário final, o principal problema é a ausência de atualização automática. Diferente do navegador ou do sistema operacional, o 7-Zip precisa ser corrigido manualmente. Milhões de máquinas no Brasil rodam versões antigas sem que os donos tenham conhecimento da vulnerabilidade. Em redes corporativas, o risco se multiplica: um único arquivo malicioso compartilhado por e-mail ou sistema de arquivos pode comprometer estações de trabalho inteiras.

O que fazer agora

A correção está disponível desde abril de 2026 na versão 26.01 do 7-Zip. O CSIRT brasileiro recomenda uma abordagem em cinco etapas, priorizando ambientes automatizados:

  1. Atualizar imediatamente o 7-Zip para a versão 26.01 ou superior em todas as estações Windows e servidores Linux.
  2. Inventariar todas as instâncias do 7-Zip e p7zip, incluindo scripts de automação, imagens Docker e softwares de terceiros que usam a biblioteca internamente.
  3. Distribuir a correção via ferramentas de gerenciamento — SCCM, WSUS, Ansible ou gerenciadores de pacotes Linux (apt, yum, dnf). O 7-Zip não atualiza sozinho.
  4. Priorizar ferramentas automatizadas que processam arquivos compactados com privilégios elevados — antivírus, scanners de segurança e sistemas de backup são os vetores de maior risco.
  5. Monitorar logs do SIEM em busca de execuções anômalas do binário 7z ou p7zip, especialmente com escalada de privilégios ou horários fora do padrão operacional.

A inação é o maior risco. Um utilitário tão disseminado quanto o 7-Zip, com um exploit público disponível em Python e sem atualização automática, é exatamente o tipo de ferramenta que atacantes miram em campanhas de phishing direcionadas. O patch existe e é gratuito. Quem não corrigir agora pode pagar o preço em breve, com o controle do computador entregue a terceiros sem nenhum clique além da abertura do arquivo.

Leia também

Para entender o contexto de outras falhas críticas recentes em ferramentas amplamente usadas, confira os artigos BeyondTrust: falha crítica dá controle total sem senha e Rogue Agent: IA da Google tinha falha que roubava conversas.

Referências