【安全圈】7-Zip 漏洞被證實遭到攻擊利用

關(guān)鍵詞

7-Zip 因符號鏈接處理缺陷引發(fā)的兩項遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-11001 與 CVE-2025-11002）正在迅速發(fā)酵，其中 CVE-2025-11001 已被英國 NHS England Digital 證實遭到現(xiàn)實攻擊利用。這一問題最初出現(xiàn)在 21.02 版本，路徑遍歷校驗缺失使 ZIP 文件在解壓過程中能夠?qū)⒊绦蛞龑?dǎo)到本不該訪問的系統(tǒng)目錄，從而為攻擊者打開執(zhí)行任意指令的通道。漏洞的危險性在于它發(fā)生在基礎(chǔ)文件操作層面，用戶只要處理惡意 ZIP 文件就可能觸發(fā)，而當(dāng)程序在服務(wù)賬戶或高權(quán)限用戶上下文中運(yùn)行時，攻擊后果會被進(jìn)一步放大。

根據(jù) Trend Micro ZDI 的技術(shù)說明，攻擊者通過偽造符號鏈接條目，可以讓 7-Zip 在解壓時寫入任意路徑，繼而覆蓋關(guān)鍵文件或?qū)阂饪蓤?zhí)行內(nèi)容植入系統(tǒng)目錄。一旦文件被加載或由系統(tǒng)服務(wù)調(diào)用，攻擊者即可實現(xiàn)穩(wěn)定且持久的代碼執(zhí)行。報告指出，該缺陷不僅能突破常規(guī)訪問控制，還能在開發(fā)者模式開啟的 Windows 環(huán)境中得到更容易的觸發(fā)路徑，使得開發(fā)機(jī)、測試機(jī)以及企業(yè)內(nèi)部構(gòu)建系統(tǒng)成為高危目標(biāo)。

漏洞由 GMO Flatt Security 研究員與其 AI 驅(qū)動的 AppSec Auditor 平臺聯(lián)合識別，通過模型分析自動定位 ZIP 元數(shù)據(jù)解析分支中的邏輯缺口。隨后的驗證表明，該漏洞與 2025 年同步修復(fù)的 CVE-2025-11002 屬于同一錯誤家族，兩者共同暴露了 7-Zip 在符號鏈接解析機(jī)制上的結(jié)構(gòu)性問題，而這些問題在過去數(shù)年都未被充分注意，直到最近才被集體曝光。

目前，已有研究者公開概念驗證代碼，展示如何構(gòu)造可觸發(fā)遠(yuǎn)程代碼執(zhí)行的惡意 ZIP 文件，這使得漏洞的利用門檻顯著降低。盡管官方尚未披露攻擊來源、規(guī)模或受害者范圍，但出現(xiàn)現(xiàn)實攻擊案例意味著威脅已從“理論階段”轉(zhuǎn)向“可復(fù)制的攻擊鏈”。攻擊者可能會將其用于供應(yīng)鏈攻擊、內(nèi)部網(wǎng)絡(luò)橫向移動、部署惡意更新包或偽裝為合法壓縮文件進(jìn)行魚叉式投遞。

隨著 25.00 版本正式修補(bǔ)相關(guān)缺陷，7-Zip 用戶被強(qiáng)烈建議立即升級并避免從未知來源獲取壓縮包。同時，企業(yè)應(yīng)檢查自動化構(gòu)建環(huán)境，對所有 ZIP 處理流程增加安全沙箱或虛擬化隔離，防止開發(fā)與運(yùn)維鏈路遭到污染。此事件顯示，即使是極其常用的基礎(chǔ)工具也可能成為攻擊者突破防線的落點，一旦被忽視，其影響范圍將遠(yuǎn)超個人用戶，直至整個生態(tài)鏈。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！