请尽快更新!7-Zip曝出两个高危漏洞:可远程执行任意代码

2025-10-12 21:38:42 0点赞 0收藏 0评论

快科技10月12日消息,近日,流行开源压缩工具7-Zip的两个高危漏洞被披露,攻击者可能通过诱使用户打开恶意ZIP文件来执行任意代码。

这两个漏洞分别为CVE-2025-11001和CVE-2025-11002,由Trend Micro的Zero Day Initiative(ZDI)于10月7日报告,这两个漏洞的CVSS基础评分均为7.0,属于高危级别,相关问题已在7月修复。

请尽快更新!7-Zip曝出两个高危漏洞:可远程执行任意代码

这两个漏洞的根源在于7-Zip解析ZIP文件中的符号链接的方式,攻击者可以通过精心设计的恶意存档文件,突破其预定的解压缩目录,并在系统中其他位置写入文件。

如果将这些漏洞组合利用,攻击者可以在用户权限下完全执行代码,足以危及Windows环境的安全。

根据ZDI的公告,利用这些漏洞需要用户交互,但门槛极低,只需打开或解压缩恶意文件即可,此后符号链接穿越漏洞可以覆盖或在敏感路径中植入恶意负载,从而劫持执行流程。

7-Zip开发者Igor Pavlov于7月5日发布了25.00版本,修复了这些漏洞,并解决了RAR和COM存档处理中的几个小问题。

当前的25.01稳定版本于8月发布,但直到本周ZDI的公告发布,这些安全细节才被公之于众。

加上7-Zip缺乏自动更新机制,进一步加剧了此类问题,由于用户必须手动更新,而许多人还在使用较旧的便携版本。

为了确保安全,建议用户尽快从7-Zip官网下载25.01或更高版本。

请尽快更新!7-Zip曝出两个高危漏洞:可远程执行任意代码

编辑:黑白

【本文结束】如需转载请务必注明出处:快科技

展开 收起
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
0
扫一下,分享更方便,购买更轻松