两款高危漏洞现身广受欢迎的开源文件压缩工具7-Zip,可能致使远程攻击者执行任意代码。
这两个被标识为CVE-2025-11001与CVE-2025-11002的漏洞,影响该软件最新版之前的所有版本,亟需立即修补。
符号链接处理机制存在缺陷
两处漏洞的核心均源于7-Zip处理ZIP压缩包内符号链接的方式。根据安全公告,攻击者可制作包含特殊构造数据的恶意ZIP文件以利用此弱点。
当用户使用存在漏洞的7-Zip版本解压该压缩包时,有缺陷的处理过程可能被操纵以实现目录遍历。这将导致解压过程将文件写入目标文件夹之外,可能将恶意载荷植入系统敏感位置。
尽管攻击通过传递恶意文件远程发起,但利用过程需要用户交互——受害者必须选择打开压缩包。具体攻击载体可能因7-Zip在不同环境中的实现方式而有所差异。
CVE-2025-11001与CVE-2025-11002均被评定为CVSS 3.0评分7.0分,属于高危威胁。成功利用可能允许攻击者以运行7-Zip应用程序的服务账户或用户权限,在受影响系统上执行任意代码,最终导致系统完全沦陷、数据窃取或勒索软件等进一步恶意代码部署。
虽然攻击复杂度较高且需用户交互阻止了该漏洞获得严重评级,但考虑到7-Zip工具的广泛使用范围,其对机密性、完整性、可用性的潜在影响仍十分重大。
漏洞信息表
| CVE编号 | 受影响产品 | 漏洞类型 | CVSS 3.0 评分 |
| CVE-2025-11002 | 7-Zip (25.00之前版本) | 符号链接处理导致的任意代码执行 | 7.0 (高危) |
| CVE-2025-11001 | 7-Zip(25.00之前版本) | 符号链接处理导致的任意代码执行 | 7.0 (高危) |
7-Zip开发者已发布修复这些安全缺陷的25.00版本,强烈建议所有用户立即更新安装以防范潜在攻击。
该漏洞最初于2025年5月2日按负责任披露流程报告给厂商。随后于2025年10月7日发布协调公告,向公众告知风险与可用补丁。此漏洞由GMO Flatt Security Inc.的安全研究员Ryota Shiga与takumi-san.ai联合发现。
发表评论
您还未登录,请先登录。
登录