著名的开源压缩/解压缩工具 7-ZIP 爆出一个高危漏洞 CVE-2024-11477,存在于 7-Zip 的 Zstandard 解压缩功能中,它允许攻击者在用户打开恶意压缩包时执行远程代码。该漏洞最初出现在 24.05 版本(2024年5月发布),24.07 版本之前的所有 7-Zip 版本都受到影响。
请尽快更新,目前官网最新版本为 24.08。
7-ZIP 官网地址
请认准唯一官网。
CVE-2024-11477 细节
这是一个存在于 7-Zip 的 Zstandard 解压缩功能中的整数下溢漏洞,允许攻击者在用户打开恶意压缩包时执行远程代码
受影响版本
- 影响 24.07 版本之前的所有 7-Zip 版本
- 该漏洞最初出现在 24.05 版本(2024年5月发布)
漏洞严重性
- CVSS 评分为 7.8,属于高危漏洞
- 需要用户交互才能触发漏洞,比如打开恶意压缩文件
- 漏洞可能会被用于恶意邮件附件攻击
解决方案
用户应立即更新到 7-Zip 24.07 或更高版本来修复此漏洞