• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    7-Zip目录遍历导致任意代码执行漏洞(CVE-2025-11001/CVE-2025-11002)

    发布日期:2025-10-23    浏览次数:

    一、漏洞背景

    7-Zip 是一款开源的文件压缩和解压缩软件。它可以帮助用户将文件和文件夹压缩成较小的存档文件,以便更轻松地进行传输和存储。同时,它也可以解压缩各种不同格式的存档文件,包括但不限于ZIPRARISO 等。除了基本的压缩和解压功能外,7-Zip 还支持强大的加密和自解压功能,使得用户可以更安全地传输和共享文件。

    二、漏洞详情

    7-Zip 存在目录遍历漏洞,攻击者可以构造特殊的 ZIP 文件,其中包含指向系统关键目录的符号链接,当具有管理员权限的用户使用7-Zip 解压这些恶意文件时,攻击者可以绕过正常的文件路径限制,将恶意文件写入到系统目录中,从而实现任意代码执行。

    漏洞编号:CVE-2025-11001/CVE-2025-11002,漏洞威胁等级:高危。

    三、漏洞影响

    目前受影响的 7-Zip 压缩软件版本:

    7-Zip < 25.00

    四、处置建议

    (一)、如何检测组件系统版本

    7-Zip 安装目录执行 7z.exe 命令

    (二)、官方修复建议:

    官方已修复最新版本修复该漏洞,建议受影响用户将 7-Zip 更新到最新版本。

    下载链接:https://www.7-zip.org/download.html



    一审:信息网络中心

    二审:信息网络中心

    三审:信息网络中心

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106