10月12日最新消息,近期曝光了流行开源压缩软件7-Zip的两个高危安全漏洞,攻击者可能通过诱骗用户打开特制ZIP文件来实现任意代码执行。
这两个编号为CVE-2025-11001和CVE-2025-11002的漏洞由趋势科技零日计划(ZDI)在10月7日披露,两项漏洞的CVSS基准评分都达到7.0分,均被评定为高危级别。相关安全问题其实已在今年7月得到修复。

漏洞的根本原因在于7-Zip处理ZIP文件中符号链接的方式存在缺陷。攻击者能够通过精心构造的压缩包文件,突破预设的解压目录限制,将文件写入系统其他位置。
若将这两个漏洞配合使用,攻击者就能在用户权限下实现完整的代码执行,足以威胁Windows系统的安全环境。
根据ZDI发布的说明,利用这些漏洞需要用户进行操作配合,但触发条件十分简单——只需打开或解压恶意文件即可。随后,符号链接穿越漏洞能够覆盖敏感路径或植入恶意载荷,从而劫持系统执行流程。
7-Zip项目维护者Igor Pavlov已于7月5日发布25.00版本修复这些漏洞,同时解决了RAR和COM压缩包处理中的若干细节问题。
当前最新的25.01稳定版虽然在8月就已推出,但直到本周ZDI发布安全公告,这些漏洞的具体细节才正式对外公开。
加之7-Zip本身不具备自动更新功能,使得问题更加棘手。由于用户必须手动升级程序,而很多用户仍在继续使用旧版的便携版本。
为确保系统安全,建议所有用户立即前往7-Zip官网下载25.01或更新版本。

