Zero Day Initiative（ZDI）近日披露了開源壓縮工具 7-Zip 中兩處高危漏洞的技術細節(jié)，攻擊者可誘騙用戶打開特制 ZIP 文件實現任意代碼執(zhí)行。目前這兩個漏洞已在 7-Zip 25.00 版本中完成修復。

漏洞技術分析

根據 ZDI 發(fā)布的公告："該漏洞允許遠程攻擊者在受影響的 7-Zip 安裝版本上執(zhí)行任意代碼。利用此漏洞需要與產品進行交互，但具體攻擊向量可能因實現方式而異。"

編號為 CVE-2025-11001 和 CVE-2025-11002 的漏洞具有相同的根本缺陷：對 ZIP 壓縮包內符號鏈接的處理不當。該缺陷會導致惡意 ZIP 文件突破預設解壓目錄，可能造成任意文件被覆蓋或執(zhí)行。

公告明確指出："具體缺陷存在于 ZIP 文件符號鏈接的處理過程中。ZIP 文件中的特制數據可導致進程遍歷到非預期目錄。"通過利用該漏洞，攻擊者能夠"以服務賬戶的權限上下文"執(zhí)行任意代碼，具體權限提升程度取決于 7-Zip 在系統(tǒng)中的使用方式。

攻擊場景與風險

雖然漏洞利用需要用戶交互（如打開或解壓惡意 ZIP 文件），但 ZDI 警告稱攻擊向量可能因 7-Zip 的集成方式而異。對于獨立版 7-Zip 用戶需要手動打開文件，而使用 7-Zip 庫的嵌入式或自動化系統(tǒng)（尤其是服務器端文件處理環(huán)境或云端解壓工作流）可能遭受靜默攻擊。

歸檔工具中的目錄遍歷漏洞可能造成嚴重后果，特別是在企業(yè)自動處理壓縮文件的環(huán)境中。攻擊者可實現：

• 覆蓋配置文件或啟動文件實現持久化駐留
• 將惡意可執(zhí)行文件投遞至受信任目錄
• 當被覆蓋文件被系統(tǒng)或特權服務執(zhí)行時觸發(fā)遠程代碼執(zhí)行

盡管直接利用需要用戶操作，但通過 ZIP 文件投遞的簡便性使其成為釣魚和惡意軟件活動的理想載體。攻擊者可能將惡意壓縮包偽裝成簡歷、發(fā)票或項目文件，誘騙用戶使用 7-Zip 解壓。

修復建議

目前這兩個漏洞已在 7-Zip 25.00 版本中完成修復，建議用戶立即升級至最新版本。