Se ha divulgado una vulnerabilidad de desbordamiento de búfer en heap en 7-Zip, identificada como CVE-2026-48095, que puede permitir ejecución remota de código arbitrario mediante archivos especialmente diseñados. La falla afecta al manejador NTFS de 7-Zip y puede activarse al procesar archivos manipulados, incluso si estos utilizan una extensión distinta a la esperada.
CVE y severidad
| CVE | Puntaje CVSS 3.1 | Severidad | Componente afectado |
|---|---|---|---|
| CVE-2026-48095 | 8.8 | Alta | 7-Zip NTFS Handler |
Productos afectados
| Fabricante | Producto | Versión afectada | Plataformas/SO |
|---|---|---|---|
| 7-Zip | 7-Zip | 26.00 y anteriores | Arquitecturas x86 y x64 compatibles con la versión 7-Zip |
Solución
Actualizar a 7-Zip 26.01 o superior, versión que corrige la vulnerabilidad en el manejador NTFS.
Recomendaciones
- Actualizar 7-Zip de forma prioritaria.
- Evitar abrir archivos comprimidos o imágenes de disco provenientes de fuentes no confiables.
- No confiar únicamente en la extensión del archivo.
- Validar que la versión instalada sea 26.01 o superior.
- Monitorear alertas EDR/AV relacionadas con apertura de archivos sospechosos.