开源压缩软件 7-Zip 近日被曝出存在两项高危安全漏洞,攻击者可能利用漏洞在目标计算机上远程执行任意代码。
安全研究人员提醒所有用户:请立即升级至 7-Zip 25.00 或更高版本(目前最新为25.01)以防止被攻击。
? 漏洞概况
- 漏洞编号:CVE-2025-11001、CVE-2025-11002
- 影响范围:所有旧版 7-Zip
- 漏洞等级:CVSS 3.0 评分 7.0(高危)
- 修复版本:7-Zip 25.00 及以上
⚠️ 漏洞原理
漏洞源于程序在处理 ZIP 文件中的符号链接(Symbolic Link) 时存在安全缺陷。
攻击者可构造恶意 ZIP 压缩包,诱导用户在存在漏洞的版本中解压,触发 目录遍历(Directory Traversal) 漏洞。
结果是文件可能被写入系统的非预期目录甚至敏感路径,从而执行恶意代码或植入后门。
只要用户手动解压该文件,攻击代码就可能在系统上以当前账户权限运行。
? 安全风险分析
- 攻击者可在受影响系统上执行任意代码;
- 可能导致系统被完全控制或数据泄露;
- 为勒索软件或其他攻击提供入口。
虽然该漏洞利用需要用户交互,因此未被评为“严重级别(Critical)”,但鉴于 7-Zip 的广泛使用,其安全影响不容忽视。
? 官方修复与披露时间线
| 时间 | 事件 |
|---|---|
| 2025.05.02 | 安全研究员 Ryota Shiga(GMO Flatt Security Inc.)向官方提交漏洞报告 |
| 2025.07 | 7-Zip 发布 25.00 版本修复漏洞 |
| 2025.08 | 最新版本 25.01 推出 |
| 2025.10.12 | 漏洞公开披露 |
✅ 建议措施
- 立即更新:前往 7-Zip v25.01 Final 修订中文汉化版(免费开源压缩文件管理器) – 是免费.NET 下载并安装最新版(≥25.00)。
- 删除旧版本:卸载旧版 7-Zip,防止误用。
- 谨慎操作压缩包:不要解压来源不明的 ZIP 文件。
- 企业环境:统一部署新版,及时更新服务器及终端。
? 总结
7-Zip 一直以轻量、稳定、免费著称,但这次事件提醒我们——开源软件同样需要定期更新。
请确保系统中的 7-Zip 已升级到 25.00 或以上版本,以免成为攻击目标。
SEO关键词:7-Zip漏洞、7-Zip更新、CVE-2025-11001、CVE-2025-11002、远程代码执行、开源安全
相关文件下载地址
--------------------------------------------------------------
1.本站所提供的压缩包若无特别说明,解压密码均为www.4mf.net;
2.下载后文件若为压缩包格式,请安装7Z软件或者其它压缩软件进行解压;
3.文件比较大的时候,建议使用下载工具进行下载,浏览器下载有时候会自动中断,导致下载错误;
4.资源可能会由于内容问题被和谐,导致下载链接不可用,遇到此问题,请到文章页面进行留言反馈,以便及时进行更新;
5.下载资源版权归作者所有;本站所有资源均来源于网络,仅供学习使用,请支持正版!下载后请注意杀毒。
