7-Zip 被曝高危漏洞可远程执行任意代码，建议尽快更新至 25.00 版本

感谢亚汇网网友根据通报资料，这两项漏洞编号为CVE-2025-11001和CVE-2025-11002，影响所有旧版7-Zip软件。漏洞的核心问题出现在程序对ZIP文件中符号链接（symboliclink）的处理方式。攻击者可通过构造恶意ZIP压缩包，诱使受害者在存在漏洞的版本中解压该文件，从而触发目录遍历（directorytraversal）漏洞。一旦攻击成功，系统在解压时可能会将文件写入预期目录之外的位置，甚至是敏感系统路径，从而植入恶意代码或程序。虽然攻击需要用户主动打开该压缩文件，但只要受害者执行了解压操作，攻击代码即可在目标计算机上以当前用户或服务账户权限运行。报告显示，这两项漏洞在CVSS3.0评分中均被评为7.0（高危级别）。成功利用后，攻击者可在受影响系统上执行任意代码，进而可能造成系统被完全控制、数据被窃取，或为勒索软件等进一步攻击提供通道。尽管漏洞利用的复杂度较高且需用户交互，因此未被评为“严重级别（Critical）”，但考虑到7-Zip的广泛使用范围，其对系统保密性、完整性与可用性的潜在威胁仍不容忽视。亚汇网提醒，7-Zip官方团队已于2025年7月发布的25.00新版中修复了以上安全问题。漏洞最初由GMOFlattSecurityInc.的安全研究员RyotaShiga报告，并与takumi-san.ai团队协作完成披露。根据披露流程，研究人员于2025年5月2日向厂商通报漏洞，随后在补丁发布后联合发布了安全公告。目前，安全机构建议所有用户立即更新至7-Zip25.00版本，以防止系统遭受潜在的远程攻击。相关阅读：《《广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，亚汇网所有文章均包含本声明。