CVE-2026-45384
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W bibliotece bit7z przed wersją 4.0.12 występuje podatność na nadpisanie plików w wyniku ataku symlink na przewidywalne pliki tymczasowe podczas aktualizacji archiwum. Problem został naprawiony w wersji 4.0.12.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do nadpisania dowolnych plików na systemie, co może prowadzić do utraty danych lub złośliwego oprogramowania. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami biblioteki.
Rekomendacja
Zaleca się aktualizację biblioteki bit7z do wersji 4.0.12 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt systemów w celu identyfikacji potencjalnych zagrożeń związanych z tą luką.
Oryginalny opis (angielski, źródło NVD)
bit7z is a cross-platform C++ static library that allows the compression/extraction of archive files. Prior to version 4.0.12, there is an arbitrary file overwrite vulnerability via symlink attack on predictable temp files during archive update. This issue has been patched in version 4.0.12.

