一度被誤判高風險，zlib漏洞CVE-2026-22184資安風險大轉彎

漏洞實際位置與影響範圍

資安研究人員指出，CVE-2026-22184並非發生於zlib核心壓縮函式庫，而是位於contrib目錄下的示範工具untgz。該工具在處理命令列傳入的壓縮檔名稱時，未驗證輸入內容，導致可能引發緩衝區溢位。

漏洞風險與潛在影響

此漏洞被歸類為高風險（CVSS 9.3），由於其發生在程式執行的初期階段，攻擊者可於程式啟動時即觸發，可能導致記憶體損壞、拒絕服務或未經授權的程式碼執行。

受影響版本與修復建議

• 受影響版本：zlib 1.3.1.2及之前版本。
• 漏洞細節：源自TGZfname函數中的全局緩衝區溢出，導致記憶體損壞。
• 修復建議：更新至zlib 1.3.1.3或更高版本以獲得安全修補。

相關資源與參考連結

• CVE-2026-22184：zlib緩衝區溢出漏洞詳情
• GitHub安全公告：CVE-2026-22184技術細節
• 阿里雲漏洞庫：zlib安全漏洞說明

來源：https://www.ithome.com.tw/news/173395