7-Zip漏洞 — 7-Zip高危漏洞CVE-2026-2260：无需解压即中招，速升26.01

ivye
计算机手机
9小时前
17热度
0评论

开源压缩工具7-Zip最近被爆出个大漏洞，CVE评分高达8.8！编号是CVE-2026-2260。这事儿有多严重？攻击者只需要让你打开一个特制的压缩包（.7z、.zip、.rar这些），就能在你的电脑上执行任意代码，全程根本不需要解压。说实话，这比普通漏洞更吓人——你连双击解压都不用，光预览文件就可能中招……

截至2026年4月，7-Zip压根没有内置自动更新机制。修复全靠用户自己手动升级，或者等包管理器推送。目前唯一的解决方案就是升级到4月下旬发布的26.01版本，之前的所有版本都有问题。你猜怎么着？很多人甚至不知道要更新！

这个漏洞的根因在7-Zip处理NTFS磁盘镜像的代码里。攻击者会构造一个内嵌恶意NTFS镜像的压缩包，然后利用缓冲区大小校验的缺陷来执行代码。因为7-Zip不是靠文件扩展名来判断文件类型的，而是读取文件头部的字节签名，所以即使压缩包扩展名是普通的.7z或.zip，里面的恶意NTFS镜像照样会被触发。是不是很巧妙？

不过有个前提条件：目标机器至少要有16GB内存。这算是个小安慰吧，但别高兴太早——现在16GB内存的机器满大街都是，对吧？

影响范围可远不止桌面端。7-Zip的命令行版本在多个操作系统上都受影响，大量CI/CD工作流中调用7z命令自动处理压缩包的场景同样面临风险。测试显示，Ubuntu 24、Ubuntu 26和RHEL 8都带着受影响版本，大量Docker镜像和OEM预装系统也未能幸免。我倒是认为，企业环境可能更危险……

更棘手的是，7-Zip的核心库被广泛集成到杀毒软件、备份工具、日志分析软件、恶意软件自动扫描系统以及各类文件管理器中。这些程序往往以高权限运行，而且不需要用户干预就能接触到恶意压缩包。SourceForge统计7-Zip下载量超过4亿次，加上Chocolatey的2450万和无数Linux服务器，受影响设备可能达数亿台。这数字太吓人了！