CVE-2026-14966 in BBOTinfo

Zusammenfassung

von VulDB • 08.07.2026

Das Unarchive-Modul von BBOT lehnt Archive ab, die Symlink-Einträge enthalten, bevor diese extrahiert werden. Bei ZIP- und 7z-Archiven wurde jedoch versäumt, Symlinks zu erkennen, deren Auflistung ein DOS-Attribut-Präfix vor dem Unix-Berechtigungsmodus aufweist, wie es von Legacy-Versionen von p7zip erzeugt wird. Ein solches Archiv, das während eines Scans heruntergeladen und extrahiert wird (z. B. über filedownload), umgeht diese Schutzmaßnahme und führt dazu, dass ein vom Angreifer gesteuerter Symlink in das Extraktionsverzeichnis geschrieben wird. Die Auswirkung beschränkt sich auf das Platzieren des Symlinks (das Ziel wird nicht beschrieben) und betrifft nur Hosts, die eine solche Legacy-p7zip-Build verwenden; aktuelle Mainline-Versionen von 7-Zip sind davon nicht betroffen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

BLSOPS

Reservieren

07.07.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376900

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!