根據安全研究人員@msuhanov在6 月19 日發布的消息，流行的開源壓縮管理器7-Zip 在24.01 測試版中修復了CVE-2023-52168 漏洞，該漏洞屬於緩衝區溢位問題。

還有個漏洞是CVE-2023-52169，該漏洞則是緩衝區過度讀取問題，這與Linux ntfs3 驅動程式中的記憶體外洩漏洞具有相同的機制。

研究人員負責任的將漏洞信息通報給開發者Igor Pavlov，然而在近期更新日誌中開發者並未提到任何與之相關的修復信息，但經過分析7-Zip 24.01 測試版確實已經完成修復。

這些漏洞對本地用戶來說實際上潛在影響比較小，例如攻擊者可以使用單一進程處理多個不受信任的文檔；然而如果在伺服器上使用7-Zip 就可能引起大問題，例如攻擊者可以從遠端伺服器上竊取大量資訊。

如果開發者在伺服器上部署了7-Zip 用來執行線上解壓縮或壓縮套件檔案預覽等，這種情況下都有可能被攻擊者利用造成資料洩露，因此危害還是非常大的。

這次安全問題最大的爭議是開發者為何沒有在更新日誌中提到該漏洞，也沒有發布任何安全公告說明此事，要不是研究人員發布博客否則大家都不清楚還存在這個漏洞。

實際上該漏洞最初的發現時間是2023 年8 月18 日並在同日通報給開發者，到2024 年1 月31 日7-Zip v24.01 Beta 版進行修復，後續版本例如最新的24.07 也已經修復該漏洞。

既然已經修復漏洞好歹也應該發布安全公告，結果因為悄悄修復漏洞而不說明，現在Igor Pavlov 的行為引起了一些開源社群成員的擔憂，因為這可能增加漏洞的利用。

開發者Igor Pavlov 的說法是，如果發布安全公告透露該漏洞，這可能會增加攻擊的風險。然而到6 月19 日安全研究人員發布部落格時，漏洞通報已經272 天、修復版本發布也已經有106 天。

顯然開發者的這種說法不僅沒有道理而且還是錯誤的，因為不發佈公告可能不足以引起一些用戶尤其是開發者的關注，這會導致修復版本更新率更慢，如果有黑客也發現了漏洞那麼可以擴大攻擊面。

因此這種情況下將腦袋埋在沙子裡顯然是個不明智的做法，這讓安全研究人員無法理解(所以發布了漏洞細節)，也讓開源社區無法理解。