Анонимный GitHub-аккаунт выложил данные о неизвестных уязвимостях нулевого дня

На платформе GitHub появился анонимный репозиторий Exploitarium, в котором собраны данные о ранее не зарегистрированных уязвимостях нулевого дня. Автор под ником bikini утверждает, что ни одна из них не числится в базах CVE, и призывает желающих сообщить о находках, чтобы получить заслугу за обнаружение.

«Единый архив общедоступных эксплойтов и отчётов об исследованиях уязвимостей. На момент публикации ни один из них не был зарегистрирован. Можете сами сообщить о них и присвоить себе заслугу за обнаружение CVE, если это произойдёт», — пояснил автор. Он добавил, что делает это для привлечения разработчиков в область кибербезопасности.

Среди опубликованных материалов значится полный эксплуатационный цепочка для 7-Zip RAR5 MotW/ADS Full-Chain PoC. Она демонстрирует возможность достижения кода парсинга нативного 7zip в версии 26.01 x64 под Windows. Это указывает на вероятную ошибку в парсере архиватора.

Разработчик 7-Zip Игорь Павлов 26 июня 2026 года представил версию 26.02 программы, в которой исправлены найденные ранее ошибки и баги. Однако детали о том, какие именно уязвимости закрыты, в релизных заметках не раскрывались.

Инцидент поднимает вопросы о практиках ответственного раскрытия уязвимостей и очередной раз напоминает о необходимости регулярного обновления open-source решений, особенно критически важных, таких как архиваторы. Сообществу рекомендуется следить за обновлениями 7-Zip и других продуктов, упомянутых в репозитории.