请尽快更新！7-Zip曝出两个高危漏洞：可远程执行任意代码

10月12日消息，近日，流行开源压缩工具7-Zip的两个高危漏洞被披露，攻击者可能通过诱使用户打开恶意ZIP文件来执行任意代码。

这两个漏洞分别为CVE-2025-11001和CVE-2025-11002，由Trend Micro的Zero Day Initiative（ZDI）于10月7日报告，这两个漏洞的CVSS基础评分均为7.0，属于高危级别，相关问题已在7月修复。

这两个漏洞的根源在于7-Zip解析ZIP文件中的符号链接的方式，攻击者可以通过精心设计的恶意存档文件，突破其预定的解压缩目录，并在系统中其他位置写入文件。

如果将这些漏洞组合利用，攻击者可以在用户权限下完全执行代码，足以危及Windows环境的安全。

根据ZDI的公告，利用这些漏洞需要用户交互，但门槛极低，只需打开或解压缩恶意文件即可，此后符号链接穿越漏洞可以覆盖或在敏感路径中植入恶意负载，从而劫持执行流程。

7-Zip开发者Igor Pavlov于7月5日发布了25.00版本，修复了这些漏洞，并解决了RAR和COM存档处理中的几个小问题。

当前的25.01稳定版本于8月发布，但直到本周ZDI的公告发布，这些安全细节才被公之于众。

加上7-Zip缺乏自动更新机制，进一步加剧了此类问题，由于用户必须手动更新，而许多人还在使用较旧的便携版本。

为了确保安全，建议用户尽快从7-Zip官网下载25.01或更高版本。

本文标签： #7-Zip #漏洞