CVE-2026-58052
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w 7-Zip dla Windows do wersji 26.02 pozwala na pominięcie znacznika Mark-of-the-Web podczas rozpakowywania spreparowanego archiwum RAR5. Mechanizm ochrony sprawdza dokładną nazwę 'Zone.Identifier', ale nie obsługuje rekordów STM o nazwie ':Zone.Identifier:$DATA', które NTFS kanonizuje do tego samego strumienia, nadpisując znacznik strefy internetowej wartością ZoneId=0. Drugi rekord STM '::$DATA' nadpisuje domyślny strumień danych pliku, umożliwiając atakującemu ominięcie ostrzeżeń SmartScreen/MotW i fałszowanie zawartości pliku.
Ocena ryzyka
Organizacja narażona jest na ataki socjotechniczne, w których użytkownicy mogą zostać oszukani do otwarcia złośliwych plików bez ostrzeżeń systemowych, co może prowadzić do infekcji złośliwym oprogramowaniem lub wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować 7-Zip do wersji nowszej niż 26.02, która zawiera poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się unikanie rozpakowywania archiwów RAR5 z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
7-Zip for Windows through 26.02 fails to preserve the Mark-of-the-Web when extracting a crafted RAR5 archive, because its guard that suppresses an archive-supplied Zone.Identifier stream matches the exact name 'Zone.Identifier' while a RAR5 STM record named ':Zone.Identifier:$DATA' is not matched and NTFS canonicalizes it to the same stream, overwriting the propagated Internet-zone marker with ZoneId=0. A second STM record named '::$DATA' overwrites the extracted file's default data stream, letting an attacker defeat SmartScreen/MotW warnings and spoof file content.

