7-Zip两大高危漏洞可导致任意代码执行(CVE-2025-11001/11002)
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
Zero Day Initiative(ZDI)披露了7-Zip中的两个高危漏洞(CVE-2025-11001和CVE-2025-11002),攻击者可利用特制ZIP文件实现任意代码执行。漏洞已在7-Zip 25.00版本中修复,用户应尽快升级以降低风险。
🎯
关键要点
-
Zero Day Initiative(ZDI)披露了7-Zip中的两个高危漏洞(CVE-2025-11001和CVE-2025-11002)。
-
攻击者可利用特制ZIP文件实现任意代码执行。
-
漏洞已在7-Zip 25.00版本中修复,用户应尽快升级以降低风险。
-
漏洞允许远程攻击者在受影响的7-Zip安装版本上执行任意代码。
-
漏洞的根本缺陷在于对ZIP压缩包内符号链接的处理不当。
-
恶意ZIP文件可能突破预设解压目录,导致任意文件被覆盖或执行。
-
攻击者能够以服务账户的权限上下文执行任意代码,权限提升程度取决于7-Zip的使用方式。
-
独立版7-Zip用户需手动打开文件,嵌入式或自动化系统可能遭受静默攻击。
-
攻击者可通过覆盖配置文件或启动文件实现持久化驻留。
-
攻击者可能将恶意压缩包伪装成简历、发票或项目文件,诱骗用户解压。
-
建议用户立即升级至7-Zip 25.00版本以修复漏洞。
❓
延伸问答
7-Zip中有哪些高危漏洞被披露?
7-Zip中披露了两个高危漏洞,编号为CVE-2025-11001和CVE-2025-11002。
这些漏洞会导致什么后果?
这些漏洞允许攻击者利用特制ZIP文件实现任意代码执行。
如何修复7-Zip中的这些漏洞?
用户应立即升级至7-Zip 25.00版本以修复这些漏洞。
攻击者如何利用这些漏洞进行攻击?
攻击者可以通过诱骗用户打开恶意ZIP文件来利用这些漏洞。
这些漏洞的根本缺陷是什么?
漏洞的根本缺陷在于对ZIP压缩包内符号链接的处理不当。
使用7-Zip的嵌入式系统会面临什么风险?
嵌入式系统可能遭受静默攻击,攻击者可以在没有用户交互的情况下利用这些漏洞。
🏷️
标签
➡️
