Al abrir un archivo comprimido se ejecutaba código malicioso: 7‑Zip dejó una desagradable sorpresa a sus usuarios. Alternativa más breve: Abrir un ZIP activaba código malicioso: 7‑Zip sorprendió negativamente a sus usuarios.
Una utilidad familiar resultó ser mucho más peligrosa de lo que parecía.
En 7-Zip se encontró una vulnerabilidad, por la cual abrir de forma habitual una imagen especialmente preparada podría terminar no en un error de descompresión, sino en la ejecución de código malicioso. El problema afecta al tratamiento de imágenes NTFS y es peligroso porque la extensión del archivo no juega un papel decisivo: la imagen maliciosa puede parecer un archivo comprimido de otro formato o no tener ninguna extensión habitual.
La vulnerabilidad recibió el identificador CVE-2026-48095. El equipo GitHub Security Lab comunicó el problema a los desarrolladores de 7-Zip el 24 de abril de 2026, y el 27 de abril se publicó la versión 26.01 con la corrección. El error está confirmado en 7-Zip 26.00; sin embargo, el cálculo defectuoso estuvo presente desde que se añadió el soporte de flujos comprimidos NTFS, por lo que se ven afectadas todas las versiones hasta la 26.00.
La causa está relacionada con el controlador NTFS. Al analizar una imagen especialmente creada, el programa aceptaba un tamaño de clúster demasiado grande y un valor de CompressionUnit, tras lo cual calculaba incorrectamente el tamaño del búfer para los datos comprimidos. Debido al comportamiento indefinido al desplazar un número de 32 bits, 7-Zip asignaba solo 1 byte para el búfer de entrada y luego intentaba escribir hasta 256 MB de datos controlados por el atacante.
Los autores del informe señalan que tal escritura fuera de la memoria asignada puede corromper el objeto de flujo en el montón y controlar el puntero de la tabla virtual. En la práctica, ese escenario abre la vía a la ejecución de código arbitrario o al cierre inesperado de la aplicación. Para la explotación basta que el usuario abra, compruebe o empiece a extraer un archivo de una imagen NTFS preparada.
El problema se manifiesta tanto en compilaciones de 32 bits como de 64 bits. En sistemas de 32 bits el desbordamiento se consigue casi con seguridad debido a las pequeñas asignaciones de memoria. En sistemas de 64 bits la ejecución del ataque depende de la asignación exitosa de un gran búfer de salida, pero en máquinas con 16 GB de memoria RAM o más ese escenario es bastante realista. Si la memoria es insuficiente, las consecuencias pueden limitarse a una denegación de servicio.
Un riesgo adicional lo crea el mecanismo de detección de formato en 7-Zip. El controlador NTFS está registrado para las extensiones .ntfs y .img, pero el programa también usa comprobación de firmas. Si el controlador principal por extensión rechaza el archivo, 7-Zip prueba otros formatos y puede reconocer NTFS por la firma al inicio de la imagen. Por eso, un archivo malicioso puede llegar al controlador peligroso incluso con apariencia de .7z, .zip, .rar o como un archivo sin extensión.
El problema fue descubierto por el miembro de GitHub Security Lab Yaroslav Lobachevsky, conocido como @JarLob. A los usuarios de 7-Zip se les recomienda actualizar a la versión 26.01 o posterior y no abrir imágenes de disco y archivos comprimidos no verificados procedentes de fuentes dudosas.