这两个安全漏洞已在 7-Zip 25.00 最新版本中得到修复,强烈建议用户立即升级到该版本。
Zero Day Initiative(ZDI)近期披露了开源压缩工具7-Zip中两处高危漏洞的技术细节。攻击者可通过特制ZIP文件诱骗用户解压,从而在目标系统上执行任意代码。目前这两个漏洞已在7-Zip 25.00版本中被彻底修复。

漏洞技术分析
根据ZDI发布的公告:"该漏洞允许远程攻击者在受影响的7-Zip安装版本上执行任意代码。虽然漏洞利用需要与产品进行交互,但具体攻击向量可能因实现方式而异。"
编号为CVE-2025-11001和CVE-2025-11002的漏洞具有相同的根本缺陷:对ZIP压缩包内符号链接的处理不当。这一缺陷会导致恶意ZIP文件突破预设解压目录,可能造成任意文件被覆盖或恶意代码执行。
公告明确指出:"具体缺陷存在于ZIP文件符号链接的处理过程中。ZIP文件中的特定数据可导致进程遍历到非预期目录。"通过利用该漏洞,攻击者能够"以服务账户的权限上下文"执行任意代码,具体权限提升程度取决于7-Zip在系统中的使用方式。
攻击场景与风险
虽然漏洞利用需要用户交互(如打开或解压恶意ZIP文件),但ZDI警告称攻击向量可能因7-Zip的集成方式而异。对于独立版7-Zip用户需要手动打开文件,而使用7-Zip库的嵌入式或自动化系统(尤其是服务器端文件处理环境或云端解压工作流)可能遭受静默攻击。
归档工具中的目录遍历漏洞可能造成严重后果,特别是在企业自动处理压缩文件的环境中。攻击者可实现:
覆盖配置文件或启动文件实现持久化驻留将恶意可执行文件投递至受信任目录当被覆盖文件被系统或特权服务执行时触发远程代码执行尽管直接利用需要用户操作,但通过ZIP文件投递的简便性使其成为钓鱼和恶意软件活动的理想载体。攻击者可能将恶意压缩包伪装成简历、发票或项目文件,诱骗用户使用7-Zip解压。
修复建议
目前这两个漏洞已在7-Zip 25.00版本中得到修复,强烈建议用户立即升级到最新版本。
