开源压缩工具高危漏洞：NTFS解析致远程代码执行

近期，一款在开发者社区几乎标配的开源压缩工具，被爆出高危安全漏洞。通用漏洞评分系统（CVSS）给予8.8分——明确的高风险等级。攻击者只需诱骗用户打开一个特制的压缩文件，无需解压或点击任何额外按钮，即可在目标设备上直接执行任意代码。

略显棘手的是，该工具未内置自动更新机制。漏洞修复完全依赖用户手动升级，或等待系统包管理器推送新版本。官方反应迅速，已于今年4月下旬发布26.01版彻底修复问题，但此前所有历史版本均存在风险，无一幸免。

漏洞根源在于处理NTFS磁盘镜像时的缓冲区大小校验缺陷。攻击者可将恶意NTFS镜像嵌入常规压缩包——例如常见的.7z、.zip或.rar文件——然后利用该校验缺陷触发远程代码执行。值得注意，该工具识别文件类型不依赖扩展名，而是直接读取文件头部字节签名。因此，即便压缩包文件名看似无害，内部隐藏的NTFS镜像仍会被解析，漏洞随之激活。

提醒一点：成功利用该漏洞需要目标设备至少拥有16GB内存。条件虽不算苛刻，但也排除了部分低配机器。

影响范围远超个人电脑。该工具的命令行版本在主流操作系统上同样存在漏洞，尤其在CI/CD（持续集成/持续交付）环境中，大量自动化流程依赖压缩命令处理上传文件——这些机器几乎完全暴露在攻击风险下。

更令人担忧的是，该工具的核心解压库已深度集成至众多安全软件和系统工具中，例如终端防护产品、数据备份系统、日志分析平台、恶意代码自动检测引擎以及各类文件管理器。这些程序常以系统级权限运行，在后台静默解析文件，用户毫不知情。恶意压缩包就这样被悄悄加载并处理。

实测表明，Ubuntu 24、Ubuntu 26、RHEL 8等主流发行版默认搭载的版本全部存在漏洞。大量预置的Docker镜像及OEM预装系统同样未能幸免。

根据公开统计数据，该工具全球下载量已突破4亿次，加上各包管理平台数千万次的分发，以及企业服务器、开发环境、嵌入式设备中的大规模部署，潜在受影响设备数量高达数亿台。此事必须立即引起重视。