广泛用于各类操作系统与应用程序的无损数据压缩函数库zlib，日前被研究人员披露安全漏洞CVE-2026-22184。该漏洞在初期风险评估尚未完全明确时，曾以CVSS v4.0评分9.3分标记为严重（Critical）风险；随着技术细节确认，后续评估结果调整，最新CVSS v4.0评分为4.6分，列为中等（Medium）风险。

仅影响演示工具untgz，未波及核心函数库

安全研究人员指出，CVE-2026-22184并非发生在zlib核心压缩函数库，而是位于contrib目录下的演示工具untgz。该工具在处理命令行传入的压缩文件名时，未对长度进行验证，直接写入固定大小的全局缓冲区，可能导致内存损坏或服务中断（DoS）。

触发条件受限，仅限本地操作

该漏洞代码位于untgz工具的启动流程中，会在解析任何压缩文件内容之前处理命令行参数，因此仅在本地执行该工具并传入过长文件名参数时才会触发。由于不涉及网络输入或服务端请求，该漏洞不属于可远程利用的攻击场景，其实际影响取决于untgz在系统中的使用情况。

为何一度被误判为高风险

CVE-2026-22184在初期通报时，尚未明确区分漏洞实际位置与可利用前提，加之zlib本身是高度通用的底层函数库，导致风险评估一度假设可能影响核心组件，并套用远程攻击场景，因而评分偏高。后续澄清仅影响演示工具后，风险评估随之修正。

zlib项目已发布修复，发行版影响仍待排查

zlib项目已针对CVE-2026-22184漏洞发布修复补丁，新增长度检查以防止越界写入。Linux发行版方面，Red Hat与Ubuntu均表示，实际风险取决于是否安装或使用untgz工具，并建议通过官方更新机制应用补丁。

安全专家建议，系统管理员应排查环境中是否使用untgz工具，并持续关注zlib项目与各发行版的修复进展，以降低潜在风险。