7-Zip es una popular aplicación de código abierto que permite comprimir y descomprimir archivos. También ofrece la posibilidad de cifrarlos con contraseña, lo cual impide que cualquiera pueda acceder al contenido. En este artículo hablamos de un fallo importante que expone a millones de usuarios a ataques de ejecución remota de código. Vamos a contarte cómo puede afectarte y qué debes hacer.
La vulnerabilidad ha sido detectada por parte de investigadores de Zero Day Initiative. El fallo ha sido registrado como CVE-2026-14266 y tiene una puntuación en la escala CVSS de 7.0. También puedes ver el registro de vulnerabilidades en la web de ZDI. El problema fue reportado inicialmente el 5 de junio y ha sido divulgado el 15 de julio.
Fallo en 7-Zip
El problema reside en la forma en que 7-Zip procesa los flujos de datos comprimidos con XZ. Los datos fragmentados XZ especialmente diseñados pueden provocar un desbordamiento de búfer basado en el montón, un problema de corrupción de memoria que ocurre cuando los datos escritos en un búfer exceden su espacio asignado.
Si un atacante explota este problema, podría llegar a ejecutar código malicioso y obtener los mismos privilegios que el usuario legítimo que ha iniciado sesión. La explotación, eso sí, requiere de la interacción de la víctima, lo que dificulta que pueda llegar a tener éxito. Necesita que el usuario haga algo de esto:
- Abrir un archivo malicioso que ha sido manipulado.
- Visitar una web maliciosa que han creado para distribuir la carga útil XZ manipulada.
Cuando la víctima realiza este paso, como puede ser abrir el archivo, los datos XZ provocan un desbordamiento del búfer de memoria de 7-Zip. Esto permite que el código del atacante se ejecute de forma silenciosa en segundo plano.
Hay que tener en cuenta que se trata de un software utilizado por millones de personas en todo el mundo. Tanto usuarios domésticos como empresas usan esta aplicación para comprimir y descomprimir archivos, por lo que son muchos los que pueden verse afectados.
Cómo evitar problemas
Esta vulnerabilidad ya ha sido corregida con la última actualización, por lo que es fundamental que tengas instalada la última versión disponible. Necesitas instalar la versión 26.02, la cual puedes descargar desde la web oficial de 7-Zip.



















