建议用户尽快升级到version 25
最近披露的7-Zip 中的两个漏洞可能让攻击者通过诱导用户打开恶意的 ZIP 压缩包来执行任意代码。
这些漏洞由 Trend Micro 的 Zero Day Initiative(ZDI)于 10 月 7 日披露,影响多个版本的流行开源压缩软件,并已在 7 月悄然修复。
根据 ZDI 的公告,想要利用这些漏洞只需用户操作,比如打开或解压一个恶意压缩包,就能触发漏洞。
通过符号链接遍历漏洞,攻击者可以覆盖或在敏感路径中放置恶意代码,从而劫持程序的执行流程。ZDI 将这两个漏洞归类为目录遍历漏洞,可能导致在服务账户权限下的远程代码执行。
被追踪为 CVE-2025-11001 和 CVE-2025-11002 的漏洞,源于 7-Zip 在解析 ZIP 文件中的符号链接时的处理方式。攻击者可以利用精心制作的压缩包,绕过预设的解压目录,将文件写入系统的其他位置。当多个漏洞结合利用时,这可能会升级为在与用户相同的权限下执行完整的代码,从而危及 Windows 系统的安全。这两个漏洞的 CVSS 基础分数均为 7.0。
