英国国民保健署(NHS)英格兰数字部门周二发布公告称,近期披露的一个 7-Zip 安全漏洞已遭黑客在野外活跃利用。
该漏洞编号为 CVE-2025-11001(CVSS 评分 7.0),允许远程攻击者执行任意代码。2025 年 7 月发布的 7-Zip 25.00 版本已修复此漏洞。
趋势科技零日响应计划(ZDI)上月发布警报称:“该漏洞存在于 ZIP 文件符号链接的处理逻辑中。精心构造的 ZIP 文件数据可导致进程访问非预期目录。”“攻击者可利用此漏洞,以服务账户权限执行代码。”
该漏洞由 GMO Flatt Security 公司的滋贺亮太,以及该公司基于人工智能(AI)的应用安全审计工具 Takumi 发现并报告。
值得注意的是,7-Zip 25.00 版本还修复了另一个漏洞 CVE-2025-11002(CVSS 评分 7.0)。该漏洞同样源于 ZIP 压缩包中符号链接的不当处理,可导致目录遍历,进而实现远程代码执行。这两个漏洞均在 21.02 版本中被引入。
英国国民保健署英格兰数字部门表示:“已观测到 CVE-2025-11001 漏洞在野外被活跃利用。” 不过目前尚无细节表明,该漏洞被如何武器化、攻击者身份及攻击场景。
鉴于已有概念验证(PoC)漏洞利用代码公开,7-Zip 用户应尽快安装必要的修复程序(若尚未更新),以获得最佳防护。
发布该漏洞 PoC 代码的安全研究员多米尼克(化名 pacbypass)在详细说明中指出:“此漏洞仅能在以下场景被利用 —— 高权限用户 / 服务账户上下文,或已启用开发者模式的设备。”“该漏洞仅适用于 Windows 系统。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
