Zero Day Initiative(ZDI)近日披露了开源压缩工具 7-Zip 中两处高危漏洞的技术细节,攻击者可诱骗用户打开特制 ZIP 文件实现任意代码执行。目前这两个漏洞已在 7-Zip 25.00 版本中完成修复。
漏洞技术分析
根据 ZDI 发布的公告:"该漏洞允许远程攻击者在受影响的 7-Zip 安装版本上执行任意代码。利用此漏洞需要与产品进行交互,但具体攻击向量可能因实现方式而异。"
编号为 CVE-2025-11001 和 CVE-2025-11002 的漏洞具有相同的根本缺陷:对 ZIP 压缩包内符号链接的处理不当。该缺陷会导致恶意 ZIP 文件突破预设解压目录,可能造成任意文件被覆盖或执行。
公告明确指出:"具体缺陷存在于 ZIP 文件符号链接的处理过程中。ZIP 文件中的特制数据可导致进程遍历到非预期目录。"通过利用该漏洞,攻击者能够"以服务账户的权限上下文"执行任意代码,具体权限提升程度取决于 7-Zip 在系统中的使用方式。
攻击场景与风险
虽然漏洞利用需要用户交互(如打开或解压恶意 ZIP 文件),但 ZDI 警告称攻击向量可能因 7-Zip 的集成方式而异。对于独立版 7-Zip 用户需要手动打开文件,而使用 7-Zip 库的嵌入式或自动化系统(尤其是服务器端文件处理环境或云端解压工作流)可能遭受静默攻击。
归档工具中的目录遍历漏洞可能造成严重后果,特别是在企业自动处理压缩文件的环境中。攻击者可实现:
覆盖配置文件或启动文件实现持久化驻留
将恶意可执行文件投递至受信任目录
当被覆盖文件被系统或特权服务执行时触发远程代码执行
尽管直接利用需要用户操作,但通过 ZIP 文件投递的简便性使其成为钓鱼和恶意软件活动的理想载体。攻击者可能将恶意压缩包伪装成简历、发票或项目文件,诱骗用户使用 7-Zip 解压。
修复建议
目前这两个漏洞已在 7-Zip 25.00 版本中完成修复,建议用户立即升级至最新版本。