【安全圈】7-Zip 漏洞被证实遭到攻击利用

关键词

7-Zip 因符号链接处理缺陷引发的两项远程代码执行漏洞（CVE-2025-11001 与 CVE-2025-11002）正在迅速发酵，其中 CVE-2025-11001 已被英国 NHS England Digital 证实遭到现实攻击利用。这一问题最初出现在 21.02 版本，路径遍历校验缺失使 ZIP 文件在解压过程中能够将程序引导到本不该访问的系统目录，从而为攻击者打开执行任意指令的通道。漏洞的危险性在于它发生在基础文件操作层面，用户只要处理恶意 ZIP 文件就可能触发，而当程序在服务账户或高权限用户上下文中运行时，攻击后果会被进一步放大。

根据 Trend Micro ZDI 的技术说明，攻击者通过伪造符号链接条目，可以让 7-Zip 在解压时写入任意路径，继而覆盖关键文件或将恶意可执行内容植入系统目录。一旦文件被加载或由系统服务调用，攻击者即可实现稳定且持久的代码执行。报告指出，该缺陷不仅能突破常规访问控制，还能在开发者模式开启的 Windows 环境中得到更容易的触发路径，使得开发机、测试机以及企业内部构建系统成为高危目标。

漏洞由 GMO Flatt Security 研究员与其 AI 驱动的 AppSec Auditor 平台联合识别，通过模型分析自动定位 ZIP 元数据解析分支中的逻辑缺口。随后的验证表明，该漏洞与 2025 年同步修复的 CVE-2025-11002 属于同一错误家族，两者共同暴露了 7-Zip 在符号链接解析机制上的结构性问题，而这些问题在过去数年都未被充分注意，直到最近才被集体曝光。

目前，已有研究者公开概念验证代码，展示如何构造可触发远程代码执行的恶意 ZIP 文件，这使得漏洞的利用门槛显著降低。尽管官方尚未披露攻击来源、规模或受害者范围，但出现现实攻击案例意味着威胁已从“理论阶段”转向“可复制的攻击链”。攻击者可能会将其用于供应链攻击、内部网络横向移动、部署恶意更新包或伪装为合法压缩文件进行鱼叉式投递。

随着 25.00 版本正式修补相关缺陷，7-Zip 用户被强烈建议立即升级并避免从未知来源获取压缩包。同时，企业应检查自动化构建环境，对所有 ZIP 处理流程增加安全沙箱或虚拟化隔离，防止开发与运维链路遭到污染。此事件显示，即使是极其常用的基础工具也可能成为攻击者突破防线的落点，一旦被忽视，其影响范围将远超个人用户，直至整个生态链。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！