
开源压缩工具7-Zip近日被曝存在两个高危安全漏洞,可能在特定场景下被用于远程代码执行。软件方已紧急发布修复版本,强烈建议所有使用者立即升级以防安全风险。
这两个被命名为CVE-2025-11001和CVE-2025-11002的安全漏洞,会影响25.00版之前的所有7-Zip版本。核心问题在于软件处理ZIP压缩包内符号链接时存在的逻辑缺陷。恶意攻击者可以精心构造特殊压缩文件,利用这些漏洞在用户解压时实现目录穿越攻击。
成功利用该漏洞会导致文件被解压至非预期目录,包括操作系统关键路径。这为攻击者放置恶意程序创造了机会。虽然这类攻击需要用户手动解压恶意文件才能触发,但一旦成功执行,攻击者就能在当前用户权限下运行任意代码,获得系统控制权。
按照CVSS 3.0评分标准,这两个漏洞被评定为7.0的高危等级。攻击者可能借此窃取敏感数据、获取系统权限,甚至为后续勒索软件攻击铺路。
尽管攻击需要较多前置条件(如必须诱使用户操作),但由于7-Zip在全球广泛使用,其安全风险不容忽视。特别是对企业用户和安全性要求较高的环境来说,更需要保持高度警惕。
7-Zip开发团队已在2025年7月发布的25.00版本中修复这两个漏洞。漏洞最初由安全研究员Ryota Shiga发现,后由takumi-san.ai团队协助披露。整个披露过程遵循标准安全流程:研究人员在2025年5月2日向开发者提交报告,待补丁发布后才公开技术细节。
安全专家强烈建议所有用户尽快升级至7-Zip 25.00或更新版本。随后发布的25.01版本更进一步完善了代码安全性。
