最近，一款在开发者圈子里几乎人手必备的开源压缩工具，被曝出了严重安全漏洞。通用漏洞评分系统为其打出了8.8分——属于高危级别。攻击者只需诱骗你打开一个精心构造的压缩文件，无需解压，也无需点击任何额外按钮，就能直接在目标设备上执行任意代码。

略显尴尬的是，该工具目前并不具备自动更新功能，漏洞修复只能依赖用户主动升级，或等待系统包管理器推送。官方响应倒算迅速，今年4月下旬便发布了26.01版本彻底修复了问题，但此前所有历史版本无一幸免，全部存在风险。

问题根源在于其处理NTFS磁盘镜像时的缓冲区大小校验缺陷。攻击者可将恶意NTFS镜像植入常规压缩包——例如常见的.7z、.zip或.rar文件——并利用这一校验漏洞触发远程代码执行。有趣的是，该工具识别文件类型并非依据扩展名，而是直接读取文件头部字节签名。因此，即便你将压缩包命名为人畜无害的名字，其中隐藏的NTFS镜像照样会被解析，漏洞随之激活。

需要提醒的是：要成功利用此漏洞，目标设备至少需要16GB内存。条件不算苛刻，但也筛掉了一批低配机器。

影响范围远不止个人电脑。其命令行版本在主流操作系统上均存在同样问题，尤其在CI/CD（持续集成/持续交付）环境中，大量自动化流程都在调用压缩命令处理上传文件——这些机器几乎完全暴露在风险之下。

更令人担忧的是，该工具的核心解压库已被深度集成到众多安全软件和系统工具中，例如终端防护产品、数据备份系统、日志分析平台、恶意代码自动检测引擎以及各类文件管理器。这些程序常以系统级权限运行，在后台静默解析文件，用户对此毫无察觉。恶意压缩包就在这种情形下被悄无声息地加载和处理。

实测结果显示，Ubuntu 24、Ubuntu 26、RHEL 8等主流发行版默认搭载的版本均受影响。大量预置的Docker镜像和OEM预装系统也无一幸免。

根据公开渠道统计，该工具全球下载量已超过4亿次，再加上各包管理平台数千万次的分发，以及企业服务器、开发环境、嵌入式设备中的大规模部署，潜在受影响设备可能高达数亿台。此事亟需引起高度重视。