一、漏洞背景
7-Zip 是一款开源的文件压缩和解压缩软件。它可以帮助用户将文件和文件夹压缩成较小的存档文件,以便更轻松地进行传输和存储。同时,它也可以解压缩各种不同格式的存档文件,包括但不限于ZIP、RAR、ISO 等。除了基本的压缩和解压功能外,7-Zip 还支持强大的加密和自解压功能,使得用户可以更安全地传输和共享文件。
二、漏洞详情
7-Zip 存在目录遍历漏洞,攻击者可以构造特殊的 ZIP 文件,其中包含指向系统关键目录的符号链接,当具有管理员权限的用户使用7-Zip 解压这些恶意文件时,攻击者可以绕过正常的文件路径限制,将恶意文件写入到系统目录中,从而实现任意代码执行。
漏洞编号:CVE-2025-11001/CVE-2025-11002,漏洞威胁等级:高危。
三、漏洞影响
目前受影响的 7-Zip 压缩软件版本:
7-Zip < 25.00
四、处置建议
(一)、如何检测组件系统版本
在 7-Zip 安装目录执行 7z.exe 命令

(二)、官方修复建议:
官方已修复最新版本修复该漏洞,建议受影响用户将 7-Zip 更新到最新版本。
下载链接:https://www.7-zip.org/download.html