7-Zip目录遍历导致任意代码执行漏洞(CVE-2025-11001/CVE-2025-11002)
日期:2025-10-17 10:52:51 发布人:信息化建设中心 浏览量:0
一、漏洞概要
漏洞名称 | 7-Zip目录遍历导致任意代码执行漏洞(CVE-2025-11001/CVE-2025-11002) |
发布时间 | 2025年10月16日 |
组件名称 | 7-Zip压缩软件 |
影响范围 | 7-Zip<25.00 |
漏洞类型 | 目录遍历 |
利用条件 | 1、用户认证:无需用户认证 2、前置条件:默认配置 3、触发方式:本地 |
综合评价 | <综合评定利用难度>:容易,无需授权即可代码执行。 <综合评定威胁等级>:高危,能造成远程代码执行。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1组件介绍
7-Zip是一款开源的文件压缩和解压缩软件。它可以帮助用户将文件和文件夹压缩成较小的存档文件,以便更轻松地进行传输和存储。同时,它也可以解压缩各种不同格式的存档文件,包括但不限于ZIP、RAR、ISO等。除了基本的压缩和解压功能外,7-Zip还支持强大的加密和自解压功能,使得用户可以更安全地传输和共享文件。
2.2漏洞描述
2025年10月16日,深瞳漏洞实验室监测到一则7-Zip压缩软件组件存在目录遍历漏洞的信息,漏洞编号:CVE-2025-11001/CVE-2025-11002,漏洞威胁等级:高危。
7-Zip存在目录遍历漏洞,攻击者可以构造特殊的ZIP文件,其中包含指向系统关键目录的符号链接,当具有管理员权限的用户使用7-Zip解压这些恶意文件时,攻击者可以绕过正常的文件路径限制,将恶意文件写入到系统目录中,从而实现任意代码执行。
三、影响范围
目前受影响的7-Zip压缩软件版本:
7-Zip<25.00
官方修复建议
官方已发布最新版本修复该漏洞,建议受影响用户将7-Zip更新到最新版本。