Ecatombe 7-Zip: CVE-2026-48095 espone milioni di PC a codice remoto

La vulnerabilità CVE-2026-48095 trasforma 7-Zip in un vettore di attacco ad alto impatto contro milioni di workstation, server, ambienti Linux, sistemi macOS, installazioni Windows, container Docker, pipeline CI/CD e strumenti aziendali che gestiscono archivi compressi in modo automatico. La falla, classificata con punteggio CVSS 8.8, nasce da un heap overflow nel parser NTFS del software e permette l’esecuzione di codice arbitrario semplicemente aprendo un archivio malevolo. Non serve estrarre il contenuto, non serve avviare manualmente un eseguibile e non serve una catena di interazione complessa: basta che 7-Zip analizzi il file e identifichi i magic byte di un’immagine NTFS craftata nascosta dentro formati comuni come .7z, .zip, .rar o altri archivi usati ogni giorno. La gravità reale della vulnerabilità dipende dalla diffusione enorme del tool, dai suoi oltre 400 milioni di download su SourceForge, dalle installazioni automatizzate tramite Chocolatey, dall’uso in ambienti enterprise e dalla presenza del binario 7z dentro backup, antivirus, file manager, scanner di log, tool di malware analysis e script di automazione. La versione 7-Zip 26.01, rilasciata alla fine di aprile 2026, corregge il problema, ma l’assenza di un sistema di aggiornamento automatico obbliga utenti e amministratori a verificare manualmente ogni installazione.

La CVE-2026-48095 colpisce il parser NTFS di 7-Zip

La CVE-2026-48095 risiede nella funzione CInStream::GetCuSize() del gestore di archivi NTFS compressi e deriva da un errore nella gestione della dimensione del buffer. Il problema nasce da un’espressione di shift che produce comportamento indefinito in C++ quando l’esponente raggiunge 32, causando l’allocazione di un buffer di appena 1 byte invece della dimensione corretta. La successiva operazione di lettura scrive dati controllati dall’attaccante oltre i limiti del buffer, generando un classico heap overflow. L’elemento più pericoloso è che l’attaccante può incorporare un’immagine NTFS sparsa dentro un archivio con estensione comune, perché 7-Zip non si affida all’estensione del file ma analizza i primi byte per determinare il formato. In questo modo un archivio apparentemente normale può attivare il parser vulnerabile senza che l’utente abbia consapevolezza del reale contenuto. Il ricercatore ha pubblicato uno script Python chiamato gen_ntfs_sparse.py, capace di generare un’immagine NTFS appositamente craftata per forzare la corruzione della memoria. La prima lettura può sovrascrivere il puntatore vtable di un oggetto adiacente nell’heap, mentre la seconda può reindirizzare il flusso di esecuzione verso codice controllato dall’attaccante. Il PoC dimostra la fattibilità dell’attacco su sistemi con almeno 16 GB di RAM, condizione ormai molto comune nei computer moderni e nelle workstation aziendali.

Perché basta aprire un archivio per innescare l’esecuzione di codice

La pericolosità della vulnerabilità in 7-Zip dipende dal fatto che l’attacco non richiede l’estrazione del contenuto dell’archivio. L’utente può limitarsi ad aprire un file compresso ricevuto via email, scaricato da un sito o elaborato da un software aziendale, e il parser vulnerabile può essere comunque attivato durante la fase di analisi. Questo abbassa drasticamente la soglia di sfruttamento perché molte persone considerano l’apertura di un archivio un’operazione meno rischiosa rispetto all’esecuzione di un file. In realtà, con la CVE-2026-48095, la semplice ispezione del contenuto può bastare per provocare corruzione dell’heap e possibile remote code execution. Gli attaccanti possono mascherare il payload dentro formati familiari come .zip, .7z o .rar, sfruttando il fatto che il software riconosce il formato reale dai magic byte e non dal nome del file. Questa dinamica rende possibili campagne drive-by molto efficienti, soprattutto contro utenti che aprono allegati compressi per lavoro o contro sistemi automatizzati che processano archivi in background. Un file malevolo può essere inviato a un help desk, caricato su un portale, allegato a una richiesta di assistenza, inserito in un repository o consegnato a un sistema di scansione. Se uno dei componenti a valle invoca una versione vulnerabile del binario 7z, la catena di attacco può partire senza ulteriori passaggi visibili.

Centinaia di milioni di installazioni rendono la falla ad alto impatto

La superficie di esposizione della CVE-2026-48095 è enorme perché 7-Zip non è soltanto un programma usato manualmente dagli utenti, ma una componente integrata in molti flussi tecnici e aziendali. Il software conta oltre 400 milioni di download su SourceForge e circa 24,5 milioni di installazioni tramite Chocolatey solo su Windows, ma il problema riguarda anche sistemi Linux, macOS e ambienti containerizzati. Diverse distribuzioni, comprese installazioni basate su Ubuntu 24, Ubuntu 26 e RHEL 8, possono ancora distribuire versioni vulnerabili del pacchetto p7zip, mentre molte immagini Docker e server Linux includono versioni 26.00 o precedenti. Il rischio aumenta perché il binario 7z viene spesso richiamato da tool terzi, software di backup, scanner antivirus, file manager, sistemi di analisi malware e pipeline CI/CD. In molti casi l’utente o l’amministratore non interagisce direttamente con 7-Zip, ma il software viene eseguito automaticamente da un processo più ampio. Questo significa che la vulnerabilità può colpire anche organizzazioni che non considerano 7-Zip un asset critico. Un archivio malevolo analizzato da un antivirus, da un sistema di decompressione automatica, da un server di upload o da una pipeline di build può diventare il punto di ingresso per ransomware, backdoor o compromissioni laterali.

Il funzionamento tecnico dell’heap overflow nel parser NTFS

Il cuore tecnico della CVE-2026-48095 è la gestione errata del buffer _inBuf durante il parsing di immagini NTFS compresse. L’attaccante controlla valori che influenzano la dimensione del buffer e forza il software ad allocare una memoria insufficiente. Dopo questa allocazione errata, la lettura successiva scrive dati arbitrari oltre il limite previsto, corrompendo la memoria heap. La corruzione può colpire un oggetto adiacente e sovrascriverne il puntatore vtable, meccanismo particolarmente pericoloso nei programmi C++ perché le chiamate a funzioni virtuali dipendono proprio da quel puntatore. Quando il codice richiama una funzione virtuale dell’oggetto compromesso, il flusso di esecuzione può essere dirottato verso un indirizzo controllato dall’attaccante. Il PoC basato su gen_ntfs_sparse.py costruisce un’immagine NTFS sparsa progettata per forzare questa sequenza e dimostra che l’attacco può portare sia a crash sia a esecuzione di codice arbitrario in condizioni favorevoli. La necessità di un layout heap adeguato non riduce la gravità della vulnerabilità, perché molte macchine moderne dispongono di memoria sufficiente e ambienti prevedibili per rendere l’exploit più stabile. Il fatto che l’immagine NTFS possa essere nascosta dentro archivi comuni rende inoltre la catena di sfruttamento più semplice da distribuire e più difficile da riconoscere per l’utente finale.

La versione 26.01 corregge la vulnerabilità ma richiede aggiornamento manuale

La correzione ufficiale della vulnerabilità è contenuta in 7-Zip 26.01, rilasciato il 27 aprile 2026. Tutte le versioni precedenti devono essere considerate esposte alla CVE-2026-48095 e richiedono aggiornamento immediato. Il punto critico è che 7-Zip non dispone di un sistema di update automatico integrato, quindi gli utenti devono scaricare manualmente la nuova release dal sito ufficiale o usare i gestori di pacchetti disponibili nei rispettivi ambienti. Su Windows, la verifica può avvenire dall’interfaccia grafica o tramite il comando 7z –version. Su Linux, gli amministratori devono controllare il pacchetto p7zip o eventuali binari 7z installati manualmente. Su macOS, la presenza di versioni integrate in tool di terze parti o installate via package manager deve essere verificata con attenzione. Negli ambienti Docker, il controllo deve estendersi alle immagini base, ai container di build, alle pipeline CI/CD e ai job che decomprimono artefatti provenienti da fonti esterne. La patch copre sia l’interfaccia grafica sia le varianti da riga di comando, ma resta inefficace se una copia vulnerabile del binario continua a essere richiamata da script o applicazioni legacy. Le organizzazioni devono quindi evitare aggiornamenti parziali e procedere con una mappatura completa delle installazioni.

Tool di backup, antivirus e CI/CD ampliano la superficie d’attacco

La vulnerabilità in 7-Zip è particolarmente insidiosa perché molti strumenti aziendali aprono archivi in background con privilegi elevati. Software di backup, scanner antivirus, sistemi di analisi malware, file manager, piattaforme di log analysis e pipeline CI/CD possono invocare automaticamente il binario 7z per ispezionare, decomprimere o validare file compressi. In questi scenari, l’utente non apre manualmente l’archivio, ma il sistema lo processa comunque come parte di un workflow automatico. Se il processo gira con privilegi amministrativi o accesso a directory sensibili, l’impatto di un exploit può essere molto più grave rispetto alla compromissione di una singola sessione utente. Un archivio malevolo caricato in un sistema di ticketing, in un repository, in un ambiente di build o in una piattaforma di scansione può attraversare più componenti e attivare la vulnerabilità in un punto inatteso della catena. Le pipeline CI/CD sono particolarmente esposte perché spesso scaricano, estraggono e analizzano artefatti provenienti da repository esterni o da fornitori. In un contesto di supply chain software, la CVE-2026-48095 può trasformare un semplice file compresso in una leva di compromissione contro ambienti di sviluppo, server di build e sistemi di distribuzione.

Come mitigare subito la CVE-2026-48095 in azienda

La mitigazione della CVE-2026-48095 deve partire dall’aggiornamento immediato a 7-Zip 26.01 o versioni successive, ma non può fermarsi alla workstation dell’utente. Le organizzazioni devono eseguire una scansione completa di server, desktop, notebook, immagini Docker, container di build, ambienti Linux, sistemi macOS, pacchetti p7zip e script che richiamano direttamente il binario 7z. È necessario disabilitare o limitare l’apertura automatica di archivi provenienti da fonti non attendibili nei tool di backup, antivirus e analisi automatizzata fino al completamento della remediation. I team di sicurezza devono monitorare eventi anomali legati all’apertura di file compressi, crash insoliti di 7-Zip, esecuzioni inattese da directory temporanee e processi figli generati dopo l’analisi di archivi. I repository Git e le pipeline CI/CD devono essere controllati per individuare riferimenti a versioni obsolete del binario o immagini container non aggiornate. La formazione degli utenti resta utile, ma in questo caso non è sufficiente perché la vulnerabilità può essere attivata anche da processi automatici. La difesa efficace richiede patching rapido, inventory accurato, controllo dei flussi di decompressione e riduzione dell’esposizione verso archivi non verificati.

Perché questa vulnerabilità può favorire attacchi drive-by e supply chain

La CVE-2026-48095 possiede caratteristiche ideali per campagne drive-by e attacchi alla supply chain: alta diffusione del software vulnerabile, interazione minima richiesta, formati di file comuni, possibile esecuzione di codice e presenza di 7-Zip in processi automatici. Gli attaccanti possono distribuire archivi malevoli via email, piattaforme di collaborazione, portali di upload, repository pubblici, pacchetti software o finti aggiornamenti. Un archivio apparentemente innocuo può essere analizzato da più componenti lungo la catena, aumentando le probabilità di trovare un sistema vulnerabile. Nel contesto enterprise, questo rischio si estende a server che ricevono file da clienti, piattaforme di supporto tecnico, sistemi di scansione documentale, ambienti di sviluppo e infrastrutture di analisi malware. Nel contesto supply chain, un archivio compromesso può essere introdotto come artefatto di build, pacchetto di dipendenza o materiale tecnico allegato a un progetto. La natura del bug, legata al parsing e non all’esecuzione volontaria di un file, lo rende particolarmente adatto a superare la percezione ordinaria del rischio. Molti utenti evitano eseguibili sospetti, ma aprono senza esitazione archivi compressi per verificarne il contenuto. Proprio questa abitudine trasforma la vulnerabilità in un vettore potenzialmente molto efficace per attacchi silenziosi.

La priorità ora è verificare ogni copia di 7-Zip e p7zip

La gestione della CVE-2026-48095 richiede una remediation estesa e non cosmetica. Aggiornare la copia principale di 7-Zip su un singolo desktop non basta se restano binari vulnerabili in directory applicative, script legacy, immagini container, sistemi di backup, installazioni p7zip o tool che includono versioni proprie del motore di decompressione. Gli amministratori devono costruire un inventario reale delle versioni installate e verificare ogni esecuzione con 7z –version, controllando anche i path usati da software terzi. Le aziende devono dare priorità ai sistemi che processano archivi provenienti dall’esterno, ai server esposti, alle workstation degli utenti più bersagliati, agli ambienti DevOps e alle pipeline che gestiscono artefatti compressi. La patch alla versione 26.01 rappresenta la misura centrale, ma la riduzione del rischio passa anche dalla limitazione temporanea dei formati accettati, dal blocco degli archivi sospetti, dal controllo degli allegati compressi e dal monitoraggio dei processi generati durante l’apertura dei file. La vulnerabilità dimostra ancora una volta che componenti percepiti come utility di base possono diventare superfici d’attacco critiche quando vengono integrati ovunque e lasciati senza aggiornamenti automatici.