La falla, catalogata come CVE-2026-48095, ha un punteggio CVSS di 8.8 — nel linguaggio della sicurezza, molto seria — ed è stata comunicata il 28 maggio 2026.
Il difetto risiede nel modo in cui il software gestisce alcuni archivi, in particolare nel gestore NTFS durante la lettura. Un file costruito ad arte innesca una corruzione della memoria — un overflow del buffer interno — e spinge l’applicazione a eseguire istruzioni non previste.
Per attivarlo basta aprire un archivio manomesso, e in certi casi non serve nemmeno estrarne il contenuto: può essere sufficiente visualizzare la lista dei file. Il payload non è un eseguibile scaricato ma un’immagine d’archivio creata su misura, scenario che si presta al social engineering: la vittima viene indotta ad aprire quello che sembra un innocuo file compresso.
Va aggiornato velocemente perché c’è un problema
La correzione c’è ed è arrivata con la versione 26.01, rilasciata il 27 aprile 2026. Tutte le release precedenti vanno considerate esposte. Qui sta il nodo che rende l’aggiornamento meno scontato di quanto si pensi: 7-Zip non ha un sistema di aggiornamento automatico.
L’utente deve scaricare a mano la nuova versione dal sito ufficiale o passare per i gestori di pacchetti. La patch esiste, ma non raggiunge nessuno da sola, e questo lascia esposti proprio gli utenti convinti di essere coperti.
Il problema si allarga oltre chi apre archivi di persona. Il binario di 7-Zip viene richiamato da antivirus, software di backup, scanner antimalware, file manager e pipeline di sviluppo automatizzate. In molti casi l’utente non interagisce direttamente con il programma: lo esegue un processo più ampio, in automatico.
Un archivio malevolo analizzato da un antivirus o caricato su un server può così diventare il punto d’ingresso per ransomware o backdoor, anche in organizzazioni che non considerano 7-Zip un componente critico. Sul fronte Linux, diverse distribuzioni e molte immagini Docker continuano a includere versioni vulnerabili del pacchetto.
C’è un dettaglio che ribalta l’istinto consueto sull’hardware. L’exploit non funziona su macchine con meno di 16 GB di RAM: chi ha un computer più modesto, su questo specifico fronte, è paradossalmente più al riparo. Una scheda tecnica datata, di solito un limite, qui diventa una forma involontaria di protezione.
Per verificare la propria situazione, su Windows si può controllare la versione dall’interfaccia del programma o con il comando da terminale che ne mostra il numero di build; su Linux conviene esaminare il pacchetto installato. Chiunque sia fermo a una release precedente alla 26.01 dovrebbe aggiornare senza rinviare.
Non è la prima falla grave del software in tempi recenti, e l’avviso ufficiale ha testato la versione 26.00: indizi successivi suggeriscono che la logica difettosa preceda quel rilascio. Da quanto tempo, esattamente, il bug fosse già nel codice resta una domanda aperta.
