10月11日最新警示,知名开源压缩工具7-Zip被确认存在两个高危安全缺陷,黑客可能借助这些漏洞实现对系统的远程操控。安全专家紧急呼吁用户立即升级到最新发布的25.00版本,以防范潜在威胁。
据安全公告显示,这两个已被编号为CVE-2025-11001和CVE-2025-11002的漏洞,影响所有旧版7-Zip软件。

漏洞主要源于软件处理ZIP压缩包中的符号链接时存在缺陷。黑客可通过精心构造的恶意压缩文件,诱导用户在存在漏洞的版本中进行解压操作,进而触发目录穿越漏洞。
一旦攻击得逞,解压过程可能将文件写入非预期的系统路径,甚至渗透到敏感目录中。虽然此类攻击需要用户手动解压文件,但只要执行该操作,攻击代码就会以当前用户权限在目标系统上执行。
安全评估报告指出,这两个漏洞在CVSS 3.0评分体系中均获得7.0分的高危评级。成功利用后,攻击者不仅能执行任意代码,还可能完全控制系统,窃取敏感数据,甚至为后续勒索软件攻击创造条件。
虽然漏洞利用需要用户交互且技术门槛较高,因而未被列为"严重"级别,但鉴于7-Zip庞大的用户基数,其对系统安全的潜在威胁依然不容小觑。
需要注意的是,7-Zip开发团队已在2025年7月推出的25.00版本中彻底修复了这些安全问题。漏洞最初由GMO Flatt Security公司的安全研究员Ryota Shiga发现,并与takumi-san.ai团队合作完成了披露流程。
完整披露过程显示,研究人员在2025年5月2日已向开发者提交漏洞报告。当前所有安全机构一致建议用户尽快升级到7-Zip 25.00版本,以完全杜绝可能的远程攻击风险。
