El fallo de seguridad es una elevación local de privilegios que ha sido descubierto por el investigador turco Kagancapar, que lo ha publicado en github con un video explicativo.

La vulnerabilidad, identificada como CVE-2022-29072, se basa en que 7-Zip cuenta con un problema de desbordamiento de pila en la librería 7z-dll mediante el cual, si se arrastra un archivo con extensión ".7z" a la sección de Ayuda-Contenidos del programa, se genera un nuevo proceso derivado, llamando de nuevo a la consola de comando en modo administrador.

Por suerte, parece que solucionarlo será bastante sencillo y pronto veremos un parche que corrija esta vulnerabilidad. Mientras tanto, el propio descubridor del problema indica dos soluciones temporales. Una de ellas es retirar los permisos de escritura al programa y dejar solo los de lectura y ejecución, y otro, borrar el archivo 7-zip.chm.

Fuente: Kagancapar