开源压缩软件 7-Zip 被发现存在两项高危安全漏洞，攻击者可能利用该漏洞远程执行任意代码。研究人员建议所有用户立即更新至最新版本 25.00，以避免潜在风险。

10 月 11 日消息，开源压缩软件 7-Zip 被发现存在两项高危安全漏洞，攻击者可能利用该漏洞远程执行任意代码。研究人员建议所有用户立即更新至最新版本 25.00，以避免潜在风险。

根据通报资料，这两项漏洞编号为 CVE-2025-11001 和 CVE-2025-11002，影响所有旧版 7-Zip 软件。

漏洞的核心问题出现在程序对 ZIP 文件中符号链接（symbolic link）的处理方式。攻击者可通过构造恶意 ZIP 压缩包，诱使受害者在存在漏洞的版本中解压该文件，从而触发目录遍历（directory traversal）漏洞。

一旦攻击成功，系统在解压时可能会将文件写入预期目录之外的位置，甚至是敏感系统路径，从而植入恶意代码或程序。虽然攻击需要用户主动打开该压缩文件，但只要受害者执行了解压操作，攻击代码即可在目标计算机上以当前用户或服务账户权限运行。

报告显示，这两项漏洞在 CVSS 3.0 评分中均被评为 7.0（高危级别）。成功利用后，攻击者可在受影响系统上执行任意代码，进而可能造成系统被完全控制、数据被窃取，或为勒索软件等进一步攻击提供通道。

尽管漏洞利用的复杂度较高且需用户交互，因此未被评为“严重级别（Critical）”，但考虑到 7-Zip 的广泛使用范围，其对系统保密性、完整性与可用性的潜在威胁仍不容忽视。

IT之家提醒，7-Zip 官方团队已于 2025 年 7 月发布的 25.00 新版中修复了以上安全问题。漏洞最初由 GMO Flatt Security Inc. 的安全研究员 Ryota Shiga 报告，并与 takumi-san.ai 团队协作完成披露。

根据披露流程，研究人员于 2025 年 5 月 2 日向厂商通报漏洞，随后在补丁发布后联合发布了安全公告。目前，安全机构建议所有用户立即更新至 7-Zip 25.00 版本，以防止系统遭受潜在的远程攻击。

相关阅读：

• 《压缩工具 7-Zip v25 发布：Win10 / Win11 版支持调度超 64 个并发压缩线程》
• 《开源压缩工具 7-Zip 发布 25.01 更新：优化代码，提升安全性》