M2Team NanaZip bis 6.5.1748.0 IInArchive Extract Indices/NumItems Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 2.7 | $0-$5k | 0.00+ |
Zusammenfassung
In M2Team NanaZip bis 6.5.1748.0 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist die Funktion Extract der Komponente IInArchive Handler. Mittels Manipulieren des Arguments Indices/NumItems mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Diese Verwundbarkeit ist als CVE-2026-55783 gelistet. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Es existiert kein Exploit.
Details
In M2Team NanaZip bis 6.5.1748.0 wurde eine problematische Schwachstelle ausgemacht. Betroffen ist die Funktion Extract der Komponente IInArchive Handler. Durch Manipulation des Arguments Indices/NumItems mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-476. Auswirkungen hat dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
NanaZip is the 7-Zip derivative intended for the modern Windows experience. Prior to 6.5.1749.0, NanaZip's seven in-house IInArchive handlers in NanaZip.Codecs unconditionally dereference the caller-supplied Indices array inside Extract when the archive engine signals extract everything by passing Indices as NULL and NumItems as 0xFFFFFFFF. This causes a NULL pointer dereference in the standard Test archive or Extract all code path for WebAssembly, ElectronAsar, Zealfs, Romfs, Ufs, Littlefs, and DotNetSingleFile archives, resulting in a process crash. This issue is fixed in version 6.5.1749.0.Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 17.06.2026 als CVE-2026-55783 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff muss lokal angegangen werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 6.5.1749.0 vermag dieses Problem zu lösen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
Webseite
- Produkt: https://github.com/M2Team/NanaZip/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 2.8VulDB Meta Temp Score: 2.7
VulDB Base Score: 2.8
VulDB Temp Score: 2.7
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-476 / CWE-404
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Upgrade: NanaZip 6.5.1749.0
Timeline
17.06.2026 CVE zugewiesen10.07.2026 Advisory veröffentlicht
10.07.2026 VulDB Eintrag erstellt
10.07.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: github.com
Status: Bestätigt
CVE: CVE-2026-55783 (🔒)
GCVE (CVE): GCVE-0-2026-55783
GCVE (VulDB): GCVE-100-377557
Eintrag
Erstellt: 10.07.2026 19:37Anpassungen: 10.07.2026 19:37 (55)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.