CVE-2026-47224
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W NanaZip, będącym pochodną 7-Zip, występuje podatność na przepełnienie bufora w pamięci w parserze metadanych fizycznych woluminów LVM2. Problem ten występuje w wersjach od 3.0.1000.0 do przed wersją 6.0.1698.0, gdy otwierany jest spreparowany obraz dysku LVM.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do pamięci, co może skutkować wyciekiem danych lub zdalnym wykonaniem kodu. Organizacje powinny być świadome ryzyka związanego z otwieraniem nieznanych obrazów dysków LVM.
Rekomendacja
Zaleca się aktualizację NanaZip do wersji 6.0.1698.0 lub nowszej, aby usunąć tę podatność. Należy również unikać otwierania nieznanych lub podejrzanych obrazów dysków LVM.
Oryginalny opis (angielski, źródło NVD)
NanaZip is the 7-Zip derivative intended for the modern Windows experience. From version 3.0.1000.0 to before version 6.0.1698.0, a heap buffer-overflow read exists in the LVM2 physical-volume metadata parser in NanaZip (via the upstream 7-Zip LvmHandler). The vulnerability is triggered when opening a crafted LVM disk image. This issue has been patched in stable version 6.0.1698.0 and preview version 6.5.1742.0.

