7-Zip高危漏洞CVE-2025-11001/11002:或触发远程代码执行
这两个安全漏洞已在 7-Zip 25.00 最新版本中得到修复,强烈建议用户立即升级到该版本。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
Zero Day Initiative(ZDI)近期披露了开源压缩工具7-Zip中两处高危漏洞的技术细节。攻击者可通过特制ZIP文件诱骗用户解压,从而在目标系统上执行任意代码。目前这两个漏洞已在7-Zip 25.00版本中被彻底修复。
漏洞技术分析
根据ZDI发布的公告:"该漏洞允许远程攻击者在受影响的7-Zip安装版本上执行任意代码。虽然漏洞利用需要与产品进行交互,但具体攻击向量可能因实现方式而异。"
编号为CVE-2025-11001和CVE-2025-11002的漏洞具有相同的根本缺陷:对ZIP压缩包内符号链接的处理不当。这一缺陷会导致恶意ZIP文件突破预设解压目录,可能造成任意文件被覆盖或恶意代码执行。
公告明确指出:"具体缺陷存在于ZIP文件符号链接的处理过程中。ZIP文件中的特定数据可导致进程遍历到非预期目录。"通过利用该漏洞,攻击者能够"以服务账户的权限上下文"执行任意代码,具体权限提升程度取决于7-Zip在系统中的使用方式。
攻击场景与风险
虽然漏洞利用需要用户交互(如打开或解压恶意ZIP文件),但ZDI警告称攻击向量可能因7-Zip的集成方式而异。对于独立版7-Zip用户需要手动打开文件,而使用7-Zip库的嵌入式或自动化系统(尤其是服务器端文件处理环境或云端解压工作流)可能遭受静默攻击。
归档工具中的目录遍历漏洞可能造成严重后果,特别是在企业自动处理压缩文件的环境中。攻击者可实现:
覆盖配置文件或启动文件实现持久化驻留将恶意可执行文件投递至受信任目录当被覆盖文件被系统或特权服务执行时触发远程代码执行尽管直接利用需要用户操作,但通过ZIP文件投递的简便性使其成为钓鱼和恶意软件活动的理想载体。攻击者可能将恶意压缩包伪装成简历、发票或项目文件,诱骗用户使用7-Zip解压。
修复建议
目前这两个漏洞已在7-Zip 25.00版本中得到修复,强烈建议用户立即升级到最新版本。
相关攻略
该漏洞编号为(CVE-2026-5281),是Dawn Chrome跨平台GPU抽象层(用于实现WebGPU)中的释放后使用(use-after-free)漏洞。 谷歌已为其Chrome浏览器发布紧
这一发现标志着漏洞挖掘领域的重大范式转变,证明 AI 模型能够通过简单的自然语言提示,在传统软件中发现关键漏洞。 Anthropic 公司的 Claude AI 成功发现了 Vim 和 GNU Em
3月31日消息,据媒体报道,360数字安全集团自主研发的360多智能体协同漏洞挖掘系统,近日在OpenClaw平台中发现了一处高危漏洞——MEDIA协议Prompt注入绕过工具权限,导致本地文件泄露
安全研究员 Hung Nguyen 发现,这一漏洞链揭示了应用程序处理嵌入式文件指令时存在的持续性风险。 开发者广泛使用的文本编辑器 Vim 近日曝出一个高危安全漏洞。该漏洞允许攻击者通过诱骗用户打
F5公司已发布解决方案指南,强烈建议各组织立即遵循最新缓解步骤。 美国网络安全和基础设施安全局(CISA)已将新披露的F5 BIG-IP系统漏洞纳入其已知已利用漏洞(KEV)目录,警告该漏洞正在真实
热门专题
热门推荐
清明节假期期间,A 股和港股休市,但比特币行情永不停歇。 4月6日,当多数市场还在假期中沉睡时,比特币已经悄然启动。价格从亚洲早盘的低点67400美元出发,一路向上试探,盘中最高涨破70300美元,不仅刷新了3月26日以来的高位,较日内低点的涨幅也超过了4%。以太坊的表现同样不俗,从2050美元附近
4月5日消息,日前,REDMI K90至尊版通过3C认证,预计将于本月发布。今日,小米中国区市场部总经理魏思琪用小米新机发布微博,不出意外,这正是即将登场的REDMI K90至尊版,这将是小米首款配
WPS演示中图表不随数据更新时,可通过四种方法实现自动同步:一、用OFFSET+COUNTA定义动态名称绑定图表;二、用组合框控件联动VLOOKUP提取数据;三、用数据透视图配合切
聚焦数字技术,释放创新动能。为集中展示静安区区块链技术从“实验室”走向“应用场”的丰硕成果,挖掘一批可复制、可推广的行业解决方案,加速构建区块链产业生态闭环,静安区数据局特推出“静安区区块链创新应用
太空中的马桶堵了,边飞边修还能勉强用。但中东被点燃的火药桶,美国怎么来扑灭?靠一再延期的“最后通牒”?还是靠无底线的轰炸?2300万美元的马桶美国航空航天局4名宇航员1日搭乘“猎户座”飞船升空,执行