ZDI-25-949 | Zero Day Initiative

漏洞详情

2025年10月7日 7-Zip ZIP文件解析目录遍历远程代码执行漏洞 ZDI-25-949 / ZDI-CAN-26753

CVE ID CVE-2025-11001

CVSS 评分 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

受影响厂商 7-Zip

受影响产品 7-Zip

漏洞细节

此漏洞允许远程攻击者在受影响的7-Zip安装上执行任意代码。利用此漏洞需要与产品进行交互，但攻击向量可能因实现方式而异。

该特定缺陷存在于ZIP文件中符号链接的处理过程中。ZIP文件中的特制数据可能导致进程遍历到意外目录。攻击者可利用此漏洞在服务账户上下文中执行代码。

补充信息

已在7-Zip 25.00版本中修复

披露时间线

• 2025年5月2日 - 向厂商报告漏洞
• 2025年10月7日 - 协调公开发布公告
• 2025年10月7日 - 公告更新

致谢

Ryota Shiga (GMO Flatt Security Inc.) 与 takumi-san.ai