#安全资讯 开源压缩工具 7-Zip 爆出远程代码执行漏洞，用户必须升级到 v25.00 版确保安全。该版本已经在 7 月份发布，或许是 7-Zip 没有自动升级功能所以研究人员才等待 90 天后公布漏洞细节，预留更长时间给用户升级。查看全文：https://ourl.co/110867

开源压缩工具 7-Zip 在 7 月份发布 25.00 版，当时开发者并未透露修复漏洞，应该是等待大多数用户都已经升级到新版本或者预留足够时间后再公布漏洞，避免有攻击者利用漏洞发起攻击。

现在 CVE-2025-11001 和 CVE-2025-11002 已经公布，这两个漏洞影响 7-Zip 所有旧版本，而且漏洞与 WinRAR 此前修复的遍历漏洞有着相似之处。

具体来说，漏洞核心问题出现在 7-ZIP 对 ZIP 文件中的符号链接 (Symbolic link) 的处理器方式问题，攻击者可以构建特殊的 ZIP 压缩包并诱导用户使用 7-Zip 打开。

当用户使用 7-Zip 打开这个恶意的压缩包时就会触发目录遍历漏洞，借助该漏洞，黑客可以将文件写入到预期目录之外的位置，例如敏感的系统路径，这样可以植入恶意代码，也算是可以用来远程执行代码。

最初发现安全漏洞的是安全公司 GMO Flatt Security 的研究人员 Ryota Shiga，研究人员随后于 takumi-san.ai 团队合作向 7-Zip 披露漏洞，漏洞首次披露时间为 7 月 2 日。

到 7 月份 7-Zip v25.00 版发布并彻底修复这些漏洞，不过直到现在漏洞细节才被披露，原因可能是 7-Zip 没有自动升级功能，所以需要预留更长时间。

如果你正在使用 7-Zip 请务必立即更新到 v25.00 版，所有旧版本都存在类似问题，如果使用旧版 7-Zip 打开 ZIP 压缩文件那就需要提防此类漏洞带来的安全问题。