Уязвимости нулевого дня в репозитории Exploitarium: подробный разбор эксплойтов и реакция разработчиков 7-Zip

Exploitarium: что внутри

Пользователь bikini описывает проект как «единый архив общедоступных эксплойтов и отчётов об исследованиях уязвимостей». По его словам, на момент публикации ни одна из уязвимостей не была зарегистрирована. Формулировка «можете сами сообщить о них и присвоить себе заслугу за обнаружение CVE» — это либо naïve-хактивизм, либо социальный эксперимент. Или и то, и другое.

Из подтверждённых деталей: в составе репозитория описан PoC для 7-Zip 26.01 x64 на Windows — цепочка RAR5 + MotW + ADS, которая демонстрирует достижимость кода парсинга нативного 7zip. Переводим на нормальный язык: при распаковке crafted-архива парсер 7zip роняется или выполняет произвольный код. Mark-of-the-Web обходится, Alternate Data Streams подтягиваются — классика для Windows-инструментов, которые забывают про NTFS-нюансы.

Реакция: тихий патч Игоря Павлова

26 июня 2026-го — через день после публикации репо — Игорь Павлов выпускает 7-Zip 26.02. В заметках к релизу — общие слова: «исправлены найденные ранее ошибки и баги». Никаких CVE, никаких credit, никакого упоминания конкретных векторов атаки.

Это стандартный паттерн, когда разработчик хочет закрыть дыру тихо, без привлечения внимания. Логика понятна: если публично объявить «у нас был RCE в парсере», миллионы пользователей, которые обновляют 7-Zip раз в три года, станут мишенью. Но с точки зрения supply-chain-безопасности — это красный флаг: мы не знаем точный вектор, не знаем CVSS, не знаем, затрагивает ли цепочка только Windows или есть кросс-платформенные аспекты.

Что делать на практике

Во-первых, обновить 7-Zip до 26.02 на всех машинах, где он стоит. Это касается и CI-раннеров, и dev-окружений, и файловых серверов. Не «когда дойдут руки», а сейчас — один zip-архив в публичном репо, и ваш Windows-агент деплоя распаковывает его от имени SYSTEM.

Во-вторых, проверить зависимости. Если ваша инфраструктира использует 7z-парсинг программно (например, через `7z` CLI в скриптах), убедитесь, что версия ≥ 26.02. На Linux-серверах 7-Zip обычно ставится через менеджер пакетов — `apt list --installed | grep p7zip` или `rpm -qa | grep 7zip`, дальше — обновление через штатные каналы.

В-третьих, следить за состоянием репозитория Exploitarium. Если там действительно лежат незарегистрированные нулёвки для других проектов — это не «интересно почитать», это реальный список целей для скрипткидди. Дмп репо и мониторинг коммитов — минимум, который стоит сделать.

# Обновить 7-Zip на Windows (winget)
winget upgrade --id 7zip.7zip
# Проверить версию
7z i | head -3
# На Linux (Debian/Ubuntu)
sudo apt update && sudo apt install --only-upgrade p7zip-full
# Дмп репо для оффлайн-анализа
git clone

Золотое правило: если кто-то публично выложил PoC для вашего софта — считайте, что эксплойт уже в обиходе. Патчите, бэкапьте, мониторьте. «Мы обновимся в следующем спринте» — это не стратегия безопасности, это костыль, который сломается в пятницу вечером.