CVE-2026-42444NanaZip是一款开源文件归档工具。在5.0.1252.0至6.0.1698.0之前的版本中,其littlefs文件系统镜像解析器存在拒绝服务漏洞。由于Open方法在处理超级块时直接读取BlockCount且未进行验证,攻击者可构造特制文件导致系统进行约40亿次堆分配,从而耗尽内存资源。该漏洞已被官方在6.0.1698.0版本中修复。
该漏洞源于NanaZip在解析littlefs文件系统镜像时缺乏对关键数据的边界检查。具体而言,解析器的Open方法直接从攻击者控制的超级块中读取BlockCount字段,而未验证该值是否超出实际文件大小或设置合理的上限。随后,程序会根据该值进行循环迭代,并在每次迭代中分配文件路径条目。利用方式非常简单:攻击者只需构造一个大小仅为44字节的特制littlefs镜像文件,并将BlockCount字段设置为0xFFFFFFFF(即42亿多)。当受害者使用受影响版本的NanaZip打开此文件时,程序将尝试执行约40亿次堆分配操作。这种恶意的资源消耗会迅速耗尽系统的可用内存,导致应用程序崩溃甚至系统无响应,从而实现拒绝服务攻击。