7-Zip压缩工具曝高危漏洞，数亿设备面临远程代码执行风险

近日，一款在全球范围内广泛使用的开源压缩工具被曝存在一个高危安全漏洞。该漏洞允许攻击者通过构造特殊的压缩文件，在用户无需进行解压操作的情况下，即可在目标设备上执行任意代码，潜在威胁巨大。

根据披露的技术细节，该漏洞的CVE评分高达8.8分，属于高危级别。其核心问题存在于7-Zip处理NTFS磁盘镜像的代码中。攻击者可以制作一个内嵌了恶意NTFS镜像的压缩包，利用程序在缓冲区大小校验上的缺陷，最终实现远程代码执行。

漏洞利用门槛与广泛影响

值得注意的是，该漏洞的利用存在一个特定前提条件：目标机器的物理内存需要

。然而，这并未能显著降低其威胁等级。由于7-Zip在判断文件类型时不依赖文件扩展名，而是读取文件头部的字节签名，因此即使压缩包扩展名是常见的.7z或.zip，其内部包裹的恶意NTFS镜像同样会被触发并利用。

其影响范围远超普通用户的桌面端。7-Zip的命令行版本在多个操作系统中均受影响，这意味着大量在CI/CD工作流中自动调用7z命令处理压缩包的场景同样面临风险。更棘手的是，

，包括杀毒软件、备份工具、日志分析系统以及文件管理器等。这些程序往往以较高权限运行，且可能在无需用户干预的情况下自动处理压缩文件，从而放大了漏洞的潜在危害。

修复方案与行业观察

目前，唯一的解决方案是升级至今年4月下旬发布的26.01版本，此前的所有版本均存在此漏洞。由于7-Zip本身不具备内置的自动更新机制，修复完全依赖用户手动升级或依赖操作系统/包管理器的推送，这可能导致修复周期被拉长，大量设备将在一段时间内持续暴露在风险之中。

测试表明，包括Ubuntu 24、Ubuntu 26和RHEL 8在内的多个主流Linux发行版均携带了受影响的7-Zip版本。同时，大量基于这些系统的Docker镜像和OEM预装系统也未能幸免。据统计，仅SourceForge平台上的7-Zip下载量就已超过4亿次，若加上其他分发渠道和集成应用，

。这一事件再次凸显了基础开源软件供应链安全的重要性，以及企业级环境中软件资产管理和漏洞响应速度的严峻挑战。